MAY 11, 2020@19:10 WIB | 838 Views
Pada Juli 2019, peneliti keamanan pihak ketiga melaporkan sampel spyware baru yang ditemukan di Google Play. Laporan tersebut menarik perhatian Kaspersky karena berbagai fiturnya yang tidak terduga dan tingkat kecanggihan hingga perilaku berbeda dari Trojan umum yang biasanya diunggah ke toko aplikasi resmi.
Peneliti Kaspersky dapat menemukan sampel lain yang sangat mirip dari malware ini di Google Play. Jika pembuat malware berhasil mengunggah aplikasi berbahaya di toko aplikasi yang sah, biasanya mereka menginvestasikan sumber daya cukup besar untuk mempromosikan aplikasi dan meningkatkan jumlah instalasi sehingga dapat meningkatkan jumlah korban.
Namun lain halnya dengan aplikasi berbahaya yang baru ditemukan ini. Sepertinya operator di belakang mereka tidak begitu tertarik dengan penyebaran massal. Bagi para peneliti, ini adalah petunjuk aktivitas APT yang ditargetkan. Penelitian tambahan akan memungkinkan ditemukannya beberapa versi malware tersebut dengan lusinan sampel, yang dihubungkan dengan beberapa kesamaan kode.
Fungsionalitas semua sampel hampir serupa - tujuan utama spyware adalah untuk mengumpulkan informasi. Selain mengumpulkan data mulai dari geolokasi, log panggilan, akses kontak dan SMS, aplikasi juga dapat mengumpulkan daftar aplikasi yang diinstal, serta informasi perangkat, seperti model dan versi OS
Penelitian lebih lanjut menunjukkan bahwa PhantomLance banyak didistribusikan di berbagai platform dan pasar (marketplace), termasuk, namun tidak terbatas pada, Google Play dan APKpure. Untuk membuat aplikasi tampak sah, dalam hampir setiap kasus penyebaran malware para pelaku ancaman mencoba membangun profil pengembang palsu dengan membuat akun Github terkait.
Kaspersky telah melaporkan seluruh sampel yang ditemukan kepada para pemiliki toko aplikasi yang sah. Google Play mengonfirmasi bahwa mereka telah menghapus aplikasi.
“Kampanye ini adalah contoh luar biasa tentang bagaimana aktor ancaman melangkah lebih jauh ke perairan yang lebih dalam dan menjadi lebih sulit ditemukan. PhantomLance telah berlangsung selama lebih dari lima tahun dan aktor ancaman berhasil melewati filter app store beberapa kali, menggunakan teknik canggih untuk mencapai tujuan mereka,” komentar Alexey Firsh, peneliti keamanan di Kaspersky GReAT Team.
“Kita juga dapat melihat bahwa penggunaan platform seluler sebagai titik infeksi utama menjadi lebih populer, seiring dengan banyaknya aktor ancaman yang semakin maju di bidang ini. Perkembangan ini menggarisbawahi pentingnya peningkatan intelijen ancaman dan layanan pendukung secara berkelanjutan, yang dapat membantu dalam pelacakan aktor ancaman dan menemukan tumpang tindih antara berbagai kampanye yang berlangsung," sambung Alexey Firsh.
Untuk menghindari menjadi korban serangan yang ditargetkan pada organisasi atau individu, Kaspersky merekomendasikan hal berikut: Gunakan solusi keamanan yang andal, seperti Kaspersky Security Cloud, untuk perlindungan komprehensif dari berbagai ancaman. Solusi ini menggabungkan Kaspersky Secure Connection yang mencegah pelacakan aktivitas online, menyembunyikan alamat IP dan lokasi, dan mentransfer data Anda melalui terowongan VPN yang aman. [leo/asl/timBX]