Aplikasi Chat Terenkripsi Palsu Menyebarkan Spyware Android

Trojan akses jarak jauh GravityRAT didistribusikan di alam liar lagi, kali ini dengan kedok aplikasi obrolan terenkripsi end-to-end yang disebut SoSafe Chat.

Target RAT (remote access trojan) khusus ini didominasi oleh pengguna India, yang didistribusikan oleh aktor Pakistan.

Data telemetri pada kampanye terbaru menunjukkan bahwa ruang lingkup penargetan tidak berubah, dan Gravity masih menargetkan individu-individu terkenal di India, seperti petugas Angkatan Bersenjata.

Menyamar sebagai aplikasi obrolan yang aman

Pada tahun 2020, malware tersebut menargetkan orang melalui aplikasi Android bernama ‘Travel Mate Pro,’ tetapi karena pandemi mengurangi berpergian jauh, para aktor pindah ke kedok baru.

Aplikasi ini sekarang disebut ‘SoSafe Chat’ dan dipromosikan sebagai aplikasi perpesanan aman yang menampilkan enkripsi end-to-end.

Situs web yang kemungkinan memainkan peran dalam distribusi aplikasi (sosafe.co[.] in) tetap online hari ini, tetapi tautan unduhan dan formulir pendaftaran tidak lagi berfungsi.

Saluran dan metode distribusi tetap tidak diketahui, tetapi kemungkinan dengan mengarahkan lalu lintas ke situs melalui malvertising, posting media sosial, dan pesan instan ke target.

Kemampuan mata-mata yang luas

Setelah diinstal pada perangkat target, spyware dapat melakukan berbagai perilaku jahat, memungkinkan aktor ancaman untuk mengkopi data, memata-matai korban, dan melacak lokasi mereka.

Baca SMS, Log Panggilan, dan Data Kontak
Mengubah atau memodifikasi pengaturan sistem
Baca informasi jaringan seluler saat ini, nomor telepon dan nomor seri telepon korban, status panggilan yang sedang berlangsung, dan daftar Akun Telepon apa pun yang terdaftar di perangkat
Membaca atau menulis file pada penyimpanan eksternal perangkat
Merekam audio
Mendapatkan informasi jaringan yang terhubung

Menurut para peneliti di Cyble, daftar izin yang diminta malware untuk fungsi ini secara alami cukup luas, tetapi masih dapat muncul dibenarkan untuk aplikasi IM (instant messaging).

Sebelum versi 2020, GravityRAT secara eksklusif akan menargetkan mesin Windows, tidak memiliki kemampuan untuk menginfeksi perangkat seluler.

Dengan demikian, munculnya kembali malware di alam liar dalam menargetkan perangkat seluler menunjukkan bahwa penulisnya secara aktif mengembangkannya.

Sumber: Bleepingcomputer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Menyamar sebagai aplikasi obrolan yang aman

Kemampuan mata-mata yang luas

Reader Interactions

Leave a Reply Cancel reply

Cookies Settings