Spyware CapraRAT Mengancam Pengguna Android

Pengguna Android

Aktor ancaman keamanan yang dikenal sebagai Transparent Tribe terus merilis aplikasi Android yang mengandung unsur malware sebagai bagian dari kampanye rekayasa sosial untuk menargetkan individu yang diminati. Dan yang baru-baru ini muncul dikenal memiliki kemampuan menyamar sebagai aplikasi populer dan disebut dengan Spyware CapraRAT.

Modifikasi APK terbaru ini melanjutkan tren kelompok ini dalam menyematkan spyware ke dalam aplikasi penelusuran video, dengan ekspansi baru yang menargetkan gamer seluler, dan penggemar TikTok.

Kampanye yang dijuluki CapraTube, pertama kali diuraikan oleh perusahaan keamanan siber pada September 2023. Dengan kru peretasan menggunakan aplikasi Android yang menyamar sebagai aplikasi sah seperti YouTube untuk mengirimkan spyware bernama CapraRAT. Menurut para peneliti, itu meurpakan vVersi modifikasi dari AndroRAT dengan kemampuan untuk menangkap berbagai macam data sensitif.

Transparent Tribe, yang diduga berasal dari Pakistan, telah memanfaatkan CapraRAT selama lebih dari dua tahun dalam serangan yang menargetkan pemerintah dan personel militer India. Kelompok ini memiliki sejarah dalam melakukan serangan spear-phishing dan serangan watering hole untuk mengirimkan berbagai spyware yang menyasar sistem operasi Windows dan Android.

Aktivitas yang menjadi sorotan menunjukkan kelanjutan dari teknik ini dengan pembaruan pada dalih rekayasa sosial serta upaya untuk memaksimalkan kompatibilitas spyware dengan versi sistem operasi Android yang lebih lama sembari memperluas permukaan serangan dengan menyertakan versi Android modern.

Daftar file APK berbahaya baru yang telah diidentifikasi oleh SentinelOne adalah sebagai berikut: 

·       Crazy Game (com.maeps.crygms.tktols)

·       Sexy Videos (com.nobra.crygms.tktols)

·       TikToks (com.maeps.vdosa.tktols)

·       Weapons (com.maeps.vdosa.tktols)

CapraRAT menggunakan WebView untuk meluncurkan URL ke YouTube atau situs game seluler bernama CrazyGames[.]com, sementara di latar belakang, aplikasi itu menyalahgunakan izinnya untuk mengakses lokasi, pesan SMS, kontak, dan log panggilan; melakukan panggilan telepon; mengambil tangkapan layar; atau merekam audio dan video.

Perubahan penting pada malware ini adalah bahwa izin seperti READ_INSTALL_SESSIONS, GET_ACCOUNTS, AUTHENTICATE_ACCOUNTS, dan REQUEST_INSTALL_PACKAGES tidak lagi diminta, yang menunjukkan bahwa pelaku ancaman bertujuan untuk menggunakannya sebagai alat pengawasan daripada sebagai pintu belakang.

 “Pintu belakang “Backdoor” adalah salah satu cara yang sering digunakan peretas untuk melakukan penyerangan atau mengambil alih akses suatu sistem secara ilegal namun terlihat seperti aktivitas yang sah.”

Pembaruan pada kode CapraRAT antara kampanye September 2023 dan kampanye saat ini sangat minim, tetapi menunjukkan bahwa pengembang berfokus untuk membuat alat tersebut lebih andal dan stabil.

Keputusan untuk beralih ke versi OS Android yang lebih baru adalah logis, dan kemungkinan besar selaras dengan penargetan berkelanjutan kelompok ini terhadap individu di lingkungan pemerintah atau militer India, yang tidak mungkin menggunakan perangkat yang menjalankan versi Android yang lebih lama, seperti Lollipop yang dirilis 8 tahun yang lalu.

“Pastikan sistem perangkat Android yang digunakan adalah versi terbaru, dan selalu pastikan untuk melakukan pembaruan keamanan secara berkala. Selain itu, pastikan juga untuk tidak membuka ijin instalasi aplikasi dari luar Play Store.”

Infromasi ini mulai beredar ketika Promon mengungkapkan jenis baru malware perbankan Android yang disebut Snowblind, yang memiliki kemiripan cara kerja dengan FjordPhantom. Yaitu dengan mencoba melewati metode deteksi dan memanfaatkan API layanan aksesibilitas sistem operasi secara diam-diam.

Dengan menggunakan fungsionalitas seccomp untuk mencegat dan memanipulasi panggilan sistem, tidak hanya memungkinkan malware untuk melemahkan pemeriksaan keamanan dan berjalan di bawah radar, tetapi juga mencuri kredensial, mengekspor data, dan menonaktifkan fitur-fitur seperti otentikasi dua faktor (2FA) atau verifikasi biometrik.

"Snowblind melakukan serangan pengemasan ulang yang normal tetapi menggunakan teknik yang kurang dikenal berdasarkan seccomp yang mampu mem-bypass banyak mekanisme anti-perusakan."

FjordPhantom dan Snowblind kebanyakan menargetkan aplikasi dari Asia Tenggara dan memanfaatkan teknik serangan baru yang kuat. Hal itu seolah mengindikasikan bahwa pembuat malware di wilayah itu telah menjadi sangat canggih.

 TIPS

·       Selalu lakukan pembaruan pada perangkat Android, bahkan meskipun itu hanya sekedar pembaruan keamanan. Banyak sekali malware dan spyware yang tetanam pada aplikasi meskipun itu terlihat seperti aplikasi resmi. 

·       Jika menginstal aplikasi dari Play Store, pastikan aplikasi yang diinstal adalah aplikasi dari penerbit yang sah. Dan jika aplikasi diinstal melalui pihak ketiga, pastikan sudah memahami resiko keamanan yang mengancam data pada perangkat yang digunakan. 

·       Jika perangkat yang digunakan adalah perangkat model lama, pastikan untuk selalu waspada terhadap apapun itu. Dan jika memungkinkan, sebaiknya perbarui versi Android yang digunakan misalnya dengan menggunakan Custom ROM. 

Secara umum, usia prima suatu ponsel adalah 3-5 tahun, dengan asumsi itu adalah jangka maksimal suatu vendor ponsel memberikan pembaruan keamanan pada penggunanya. Lebih dari masa yang ditentukan tersebut, pengguna memiliki 2 opsi.

Opsi pertama: Membeli perangkat baru untuk menggantikan perangkat yang lama dan mendapatkan versi sistem operasi yang lebih baru dan pembaruan keamanan yang lebih panjang.

Opsi kedua: Tetap menggunakan perangkat yang ada dengan segala konsekuensi termasuk resiko keamanan. Atau menggunakan Custom ROM yang mungkin menawarkan pembaruan yang lebih panjang.

Penulis : Slamet Bejo

Post a Comment

Lebih baru Lebih lama