APT-C-23

Dimulai dari sampel malware yang tidak banyak diketahui, peneliti keamanan melacak spyware Android baru yang didistribusikan melalui aplikasi perpesanan palsu seperti Threema, Telegram, dan WeMessage.

Pada April 2020, peneliti keamanan MalwareHunterTeam membuat tweet tentang spyware untuk Android yang memiliki tingkat deteksi sangat rendah di VirusTotal. Memeriksa sampel, para peneliti di ESET menemukan bahwa itu adalah bagian dari malware toolkit yang digunakan oleh aktor ancaman APT-C-23.

Sekitar dua bulan kemudian, pada bulan Juni, MalwareHunterTeam menemukan sampel baru dari malware yang sama yang disembunyikan di file instalasi aplikasi olahpesan Telegram yang tersedia dari DigitalApps, toko Android tidak resmi.

Karena solusi keamanan mereka termasuk di antara beberapa yang mendeteksi spyware baru dari APT-C-23, ESET mulai menyelidiki dan menemukan bahwa malware juga disembunyikan di aplikasi lain yang terdaftar di toko.

Mereka menemukannya di Threema, platform perpesanan yang aman, dan di AndroidUpdate, aplikasi yang menyamar sebagai pembaruan sistem untuk platform seluler.

Dengan Threema dan Telegram, korban akan mendapatkan fungsionalitas penuh dari aplikasi bersama dengan malware, sehingga menyembunyikan sifat jahat dari aplikasi palsu tersebut.

ESET mengamati bahwa daftar fitur sekarang mencakup kemungkinan aplikasi untuk membungkam pemberitahuan dari aplikasi keamanan yang terintegrasi dengan perangkat dari Samsung, Xiaomi, dan Huawei, memungkinkannya untuk tetap tersembunyi bahkan jika aktivitasnya terdeteksi.

Selain itu, spyware versi baru ini dapat membaca pemberitahuan dari aplikasi perpesanan (WhatsApp, Facebook, Telegram, Instagram, Skype, Messenger, Viber), secara efektif mencuri pesan masuk.

Spyware juga dapat merekam layar (video dan gambar) serta panggilan masuk dan keluar melalui WhatsApp. Itu juga dapat melakukan panggilan secara diam-diam, dengan membuat overlay layar hitam yang meniru telepon yang tidak aktif.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Bleeping Computer

Para peneliti mengatakan mereka telah menemukan varian spyware Android baru dengan strategi komunikasi perintah-dan-kontrol yang diperbarui dan kemampuan pengawasan yang diperluas yang dapat mengintip aplikasi media sosial WhatsApp dan Telegram.

Malware, Android/SpyC32.A, saat ini sedang digunakan dalam kampanye aktif yang menargetkan korban di Timur Tengah oleh kelompok ancaman APT-C-23 (juga dikenal sebagai Two-Tailed Scorpion dan Desert Scorpion).

Versi yang diperbarui, Android/SpyC23.A, telah ada sejak Mei 2019 dan pertama kali terdeteksi oleh para peneliti pada Juni 2020.

Versi terdokumentasi sebelumnya dari spyware ini memiliki berbagai kemampuan, termasuk kemampuan untuk mengambil gambar, merekam audio, mengeluarkan log panggilan, pesan SMS dan kontak, dan banyak lagi. Mereka akan melakukannya dengan meminta sejumlah izin invasif, menggunakan teknik mirip manipulasi psikologis untuk menipu pengguna yang tidak berpengalaman secara teknis.

Versi terbaru ini memiliki kemampuan pengawasan yang lebih luas, khususnya menargetkan informasi yang dikumpulkan dari media sosial dan aplikasi perpesanan. Spyware ini sekarang mampu merekam layar korban dan mengambil tangkapan layar, merekam panggilan masuk dan keluar di WhatsApp dan membaca teks pemberitahuan dari aplikasi media sosial, termasuk WhatsApp, Facebook, Skype dan Messenger.

Untuk menghindari menjadi korban spyware, peneliti menyarankan pengguna Android untuk hanya menginstal aplikasi dari toko aplikasi Google Play resmi dan untuk memeriksa izin aplikasi.

“Pada kasus dimana privasi, masalah akses, atau batasan lain yang menghalangi pengguna untuk mengikuti saran ini, pengguna harus lebih berhati-hati saat mengunduh aplikasi dari sumber tidak resmi,” kata peneliti.

“Kami merekomendasikan untuk memeriksa pengembang aplikasi, memeriksa ulang izin yang diminta, dan menggunakan solusi keamanan seluler yang tepercaya dan mutakhir.”

Naga Cyber Defense memiliki layanan mobile protection yang dapat melindungi Anda dari spyware. Hubungi kami atau cek daftar layanan kami untuk lebih datailnya.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: The Threat Post

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Aplikasi Threema & Telegram palsu yang menyembunyikan spyware untuk serangan yang ditargetkan

Varian Spyware Android Mengintai di WhatsApp dan Telegram

APT-C-23

Cookies Settings