Bisnis.com, JAKARTA – Sejumlah peretas dikabarkan menyusupi malware spyware yang diduga merupakan varian dari "Coverlm", yang dapat mencuri data dari aplikasi komunikasi seperti Telegram, Signal, WhatsApp, Viber, dan Facebook Messenger, melalui aplikasi bernama Safechat.
Melansir dari Gizchina, Kamis (3/8/2023), tim riset dari perusahaan keamanan siber asal Singapura CYFIRMA mengatakan kelompok peretas APT India bernama Bahamut berada di balik aksi ini.
Mereka melakukan serangan terbaru mereka utamanya melalui pesan penipuan di WhatsApp yang mengirimkan muatan berbahaya langsung ke korban.
“Menyamar sebagai aplikasi obrolan yang tidak berbahaya; SafeChat, dapat ditautkan ke APT Bahamut dan mengidentifikasi taktik serupa yang digunakan oleh DoNot APT,” tulis CYFIRMA dalam laporannya.
DoNot APT sebelumnya telah mengisi Google Play dengan aplikasi obrolan palsu yang bertindak sebagai spyware. Akhir tahun lalu, grup Bahamut dilaporkan menggunakan aplikasi VPN palsu untuk platform Android yang menyertakan fungsi spyware ekstensif. Dalam aksi terbaru yang diamati oleh CYFIRMA, Bahamut menargetkan individu di Asia Selatan.
Meskipun CYFIRMA tidak menyelidiki secara spesifik bentuk rekayasa dari serangan tersebut, korban biasanya dibujuk untuk memasang aplikasi obrolan dengan dalih mengalihkan percakapan ke platform yang lebih aman.
Analis melaporkan bahwa Safechat menampilkan antarmuka palsu, yang mana membuatnya tampak sebagai aplikasi obrolan nyata. Aplikasi ini akan membawa korban melalui proses pendaftaran pengguna yang terkesan sah dan terjamin kredibilitasnya, yang mana sebenarnya berfungsi untuk menyembunyikan spyware.
Satu langkah penting dalam proses penyusupan adalah perolehan izin untuk menggunakan layanan aksesibilitas, yang kemudian disalahgunakan agar secara otomatis memberikan izin lebih banyak kepada spyware untuk mengakses daftar kontak, SMS, log panggilan, penyimpanan perangkat eksternal, dan bahkan mengambil data lokasi GPS yang akurat dari perangkat yang terinfeksi.
Sebuah modul eksfiltrasi data khusus digunakan untuk mentransfer informasi dari perangkat ke server milik peretas. Pada saat yang sama, peretas juga menggunakan sertifikat "letsencrypt" untuk menghindari upaya penyadapan data jaringan milik mereka.
CYFIRMA menyimpulkan laporan tersebut dengan mengatakan bahwa laporan tersebut memiliki cukup bukti untuk menghubungkan Bahamut dengan bekerja atas nama pemerintah negara bagian tertentu di India.
Cek Berita dan Artikel yang lain di Google News dan WA Channel
