Aksi Dua Spionase Menyebarkan Malware di Meta Berhasil Dihentikan
- Dok. Meta Indonesia
VIVA Tekno – Perusahaan induk Facebook, Meta, mengungkapkan bahwa pihaknya telah mengambil tindakan terhadap dua operasi spionase di Asia Selatan yang memanfaatkan platform media sosialnya untuk mendistribusikan malware ke target-target potensial, seperti dikutip dari situs Thehackernews, Selasa, 9 Agustus 2022.
Rangkaian kegiatan pertama adalah apa yang digambarkan perusahaan sebagai operasi yang "gigih dan sumber daya yang baik" yang dilakukan oleh kelompok peretas yang dilacak berada di bawah moniker Bitter APT (alias APT-C-08 atau T-APT-17) yang menargetkan individu di Selandia Baru, India, Pakistan, dan Inggris.
"Bitter menggunakan berbagai taktik jahat untuk menargetkan orang online dengan rekayasa sosial dan menginfeksi perangkat mereka dengan malware, mereka menggunakan campuran layanan pemendekan tautan, domain jahat, situs web yang disusupi, dan penyedia hosting pihak ketiga untuk mendistribusikan malware mereka." kata Meta dalam Laporan Ancaman Permusuhan Kuartal II 2022.
Serangan tersebut melibatkan aktor ancaman yang menciptakan persona fiktif di platform, yang berkedok menyamar menjadi wanita muda yang menarik dalam upaya untuk membangun kepercayaan dengan target dan memikat mereka untuk mengklik tautan palsu yang menyebarkan malware.
Kemudian, nantinya penyerang meyakinkan korban untuk mengunduh aplikasi obrolan iOS melalui Apple TestFlight, layanan online sah yang dapat digunakan untuk aplikasi pengujian beta dan memberikan umpan balik kepada para pengembang aplikasi.
Ini berarti bahwa peretas tidak perlu bergantung pada eksploitasi untuk mengirimkan malware khusus ke target dan dapat memanfaatkan layanan resmi Apple untuk mendistribusikan aplikasi dalam upaya membuatnya seakan-akan tampak lebih sah dan bukanlah merupakan penipuan. Sementara fungsi yang tepat dari aplikasi tidak diketahui, diduga telah digunakan sebagai taktik rekayasa sosial untuk mengawasi korban kampanye melalui media obrolan yang dirancang khusus untuk tujuan ini.
Selain itu, operator Bitter APT juga menggunakan malware Android yang sebelumnya tidak terdokumentasi bernama Dracarys, yang telah menyalahgunakan izin aksesibilitas sistem operasi untuk menginstal aplikasi sewenang-wenang, merekam audio, mengambil foto, dan mengumpulkan data sensitif dari ponsel yang terinfeksi seperti log panggilan, kontak, file, pesan teks, geolokasi, dan informasi perangkat.
Adapun, modusnya adalah Dracarys ini nantinya akan dikirimkan melalui aplikasi trojan yang menyamar sebagai YouTube, Signal, Telegram, dan WhatsApp untuk kemudian melanjutkan tren penyerang yang semakin menyebar luaskan malware yang disamarkan sebagai perangkat lunak yang sah untuk membobol perangkat seluler.
Lebih lanjut, sebagai tanda adaptasi permusuhan, Meta mencatat bahwa kelompok tersebut akan membalas upaya pendeteksian dan pemblokirannya dengan mengunggah tautan yang merusak atau gambar tautan berbahaya di utas obrolan, yang mengharuskan penerima untuk mengetik tautan ke browser mereka.
Sayangnya, hingga saat ini tidak terdapat banyak indikator yang tersedia untuk secara meyakinkan mengikatnya ke negara tertentu. Itu diyakini beroperasi di luar Asia Selatan dan baru-baru ini disinyalir telah memperluas fokusnya untuk melakukan penyerangan entitas militer di Bangladesh.
Selanjutnya, ancaman kedua yang tengah dihadapi oleh Meta adalah Transparent Tribe atau APT36, sebagai suatu ancaman terus-menerus yang canggih dan diduga berbasis di Pakistan dengn rekam jejak yang menargetkan lembaga pemerintah di India dan Afghanistan dengan alat jahat.
Bulan lalu, Cisco Talos mengaitkan aktor tersebut dengan kampanye phishing yang sedang berlangsung yang menargetkan siswa di berbagai lembaga pendidikan di India, menandai perubahan dari pola viktimologi yang khas untuk kemudian memasukkan pengguna sipil juga sebagai korbannya.
Serangkaian intrusi terbaru menunjukkan penggabungan tersebut, setelah memilih personel militer, pejabat pemerintah, karyawan hak asasi manusia dan organisasi nirlaba lainnya. Saat ini, siswa yang berlokasi di Afghanistan, India, Pakistan, Arab Saudi, dan U.A.E juga turut berada dalam jeratan ancaman tersebut.
Targetnya akan ditipu dengan menggunakan persona palsu yang dimana, pelaku akan menyamar sebagai perekrut dari perusahaan yang sah dan palsu, personel militer, atau wanita muda menarik yang berpura-pura ingin menjalin hubungan romantis dengan korban, yang pada akhirnya membujuk mereka untuk membuka tautan yang didalamnya berisikan malware.
Kemudian, file yang diunduh tersebut berisikan LazaSpy, versi modifikasi dari perangkat lunak pemantauan Android open source yang disebut XploitSPY, sembari jug menggunakan aplikasi klon yang menyerupai WhatsApp, WeChat, dan YouTube tidak resmi untuk kemudian mengirimkan malware komoditas lain yang dikenal sebagai Mobzsar alias CapraSpy.
Adapun, kedua bagian malware ini telah dilengkapi dengan fitur untuk mengumpulkan log panggilan, kontak, file, pesan teks, geolokasi, informasi perangkat, dan foto, serta mengaktifkan mikrofon perangkat, dan menjadikannya sebagai alat pengawasan yang efektif.
