Waspada, Pengguna Android di Indonesia Jadi Target Kampanye PhantomLance

Suara.com - Para peneliti Kaspersky mendeteksi kampanye canggih berbahaya yang menargetkan pengguna perangkat Android. Disebut PhantomLance, kampanye ini telah aktif sejak 2015 dan masih berlangsung hingga kini dengan menargetkan negara-negara di Asia seperti India, Vietnam, Bangladesh hingga Indonesia.

Menampilkan beberapa versi spyware yang kompleks, ancaman ini bekerja dengan perangkat lunak yang dibuat untuk mengumpulkan data korban, memiliki taktik distribusi cerdas, termasuk distribusi melalui puluhan aplikasi di Google Play.

Pada Juli 2019, peneliti keamanan pihak ketiga melaporkan sampel spyware baru yang ditemukan di Google Play. Laporan tersebut menarik perhatian Kaspersky karena berbagai fiturnya yang tidak terduga, dan tingkat kecanggihan hingga perilaku berbeda dari Trojan umum yang biasanya diunggah di toko aplikasi resmi.

"Kampanye ini adalah contoh luar biasa tentang bagaimana aktor ancaman melangkah lebih jauh ke perairan yang lebih dalam dan menjadi lebih sulit ditemukan. PhantomLance telah berlangsung selama lebih dari lima tahun dan aktor ancaman berhasil melewati filter app store beberapa kali, menggunakan teknik canggih untuk mencapai tujuan mereka," ucap Alexey Firsh, peneliti keamanan di Kaspersky GReAT Team, dalam keterangan pers yang diterima Suara.com.

Jika pembuat malware berhasil mengunggah aplikasi berbahaya di toko aplikasi yang sah, biasanya mereka menginvestasikan sumber daya cukup besar untuk mempromosikan aplikasi dan meningkatkan jumlah instalasi sehingga dapat meningkatkan jumlah korban.

Namun, berbeda dengan aplikasi berbahaya yang baru ditemukan ini. Sepertinya operator di belakang mereka tidak begitu tertarik dengan penyebaran massal. Bagi para ahli, ini adalah petunjuk aktivitas APT yang ditargetkan.

Fungsionalitas semua sampel hampir serupa. Tujuan utama spyware adalah untuk mengumpulkan informasi. Selain data dari geolokasi, log panggilan, akses kontak dan SMS, aplikasi juga dapat mengumpulkan daftar aplikasi yang diinstal serta informasi perangkat, seperti model dan versi OS.

Selain itu, pelaku juga dapat mengunduh dan mengeksekusi berbagai muatan berbahaya yang dapat menyesuaikan dirinya dengan perangkat tertentu, seperti versi Android dan aplikasi yang diinstal.

Penelitian lebih lanjut menunjukkan bahwa PhantomLance banyak didistribusikan di berbagai platform dan marketplace, termasuk Google Play dan APKpure. Untuk membuat aplikasi tampak sah, para peaku mencoba membangun profil pengembang palsu dengan membuat akun Github terkait.

Untuk menghindari mekanisme penyaringan yang dilakukan oleh pasar aplikasi, versi pertama aplikasi yang diunggah oleh pelaku ke pasar tidak mengandung muatan berbahaya apapu. Namun, pembaruan selanjutnya aplikasi menerima muatan berbahaya dan kode untuk menjalankannya.

Menurut Kaspersky Security Network, sejak 2016 sekitar 300 upaya infeksi diamati pada perangkat Android di negara-negara seperti India, Vietnam, Bangladesh, dan Indonesia. Para ahli menyimpulkan bahwa muatan PhantomLance setidaknya 20 persen mirip dengan salah satu kampanye lama Android yang terkait dengan OceanLotus.

Kaspersky telah melaporkan seluruh sampel yang ditemukan kepada para pemiliki toko aplikasi yang sah dan Google Play mengonfirmasi bahwa mereka telah menghapus aplikasi.