Pengguna perangkat Android di Korea Selatan telah menjadi target kampanye malware seluler baru yang memberikan jenis ancaman baru yang dijuluki Agen mata-mata.
Malware tersebut “menargetkan kunci mnemonik dengan memindai gambar pada perangkat Anda yang mungkin berisi kunci tersebut,” kata peneliti McAfee Labs SangRyol Ryu dalam sebuah analisis, menambahkan jejak penargetan telah diperluas cakupannya hingga mencakup Inggris
Kampanye ini menggunakan aplikasi Android palsu yang disamarkan sebagai aplikasi perbankan, fasilitas pemerintah, streaming, dan utilitas yang tampaknya sah untuk mengelabui pengguna agar memasangnya. Sebanyak 280 aplikasi palsu telah terdeteksi sejak awal tahun.
Semuanya berawal dari pesan SMS yang berisi tautan jebakan yang mendesak pengguna untuk mengunduh aplikasi yang dimaksud dalam bentuk file APK yang dihosting di situs-situs penipuan. Setelah diinstal, aplikasi tersebut dirancang untuk meminta izin intrusif guna mengumpulkan data dari perangkat.
Ini termasuk kontak, pesan SMS, foto, dan informasi perangkat lainnya, yang semuanya kemudian diekstraksi ke server eksternal di bawah kendali aktor ancaman.
Fitur yang paling menonjol adalah kemampuannya untuk memanfaatkan pengenalan karakter optik (OCR) untuk mencuri kunci mnemonik, yang merujuk pada frasa pemulihan atau awal yang memungkinkan pengguna untuk mendapatkan kembali akses ke dompet mata uang kripto mereka.
Akses tidak sah ke kunci mnemonik dapat memungkinkan pelaku ancaman mengambil alih dompet korban dan mengambil semua dana yang tersimpan di dalamnya.
McAfee Labs mengatakan infrastruktur perintah dan kontrol (C2) mengalami kelemahan keamanan serius yang tidak hanya memungkinkan navigasi ke direktori root situs tanpa autentikasi, tetapi juga membiarkan data yang dikumpulkan dari korban terekspos.
Server tersebut juga menjadi tuan rumah panel administrator yang bertindak sebagai pusat kendali untuk mengendalikan perangkat yang terinfeksi dari jarak jauh. Kehadiran perangkat Apple iPhone yang menjalankan iOS 15.8.2 dengan bahasa sistem yang diatur ke Bahasa Mandarin Sederhana (“zh”) di panel tersebut merupakan tanda bahwa perangkat tersebut mungkin juga menargetkan pengguna iOS.
“Awalnya, malware berkomunikasi dengan server perintah dan kontrol (C2) melalui permintaan HTTP sederhana,” kata Ryu. “Meskipun metode ini efektif, metode ini juga relatif mudah dilacak dan diblokir oleh alat keamanan.”
“Dalam perubahan taktis yang signifikan, malware kini telah mengadopsi koneksi WebSocket untuk komunikasinya. Peningkatan ini memungkinkan interaksi dua arah yang lebih efisien dan real-time dengan server C2 dan membantunya menghindari deteksi oleh alat pemantauan jaringan berbasis HTTP tradisional.”
Perkembangan ini terjadi sekitar sebulan setelah Group-IB mengungkap trojan akses jarak jauh Android (RAT) lain yang disebut CraxsRAT yang menargetkan pengguna perbankan di Malaysia setidaknya sejak Februari 2024 menggunakan situs web phishing. Perlu dicatat bahwa kampanye CraxsRAT sebelumnya juga diketahui telah menargetkan Singapura paling lambat April 2023.
“CraxsRAT adalah keluarga malware terkenal dari Android Remote Administration Tools (RAT) yang memiliki kemampuan kontrol perangkat jarak jauh dan spyware, termasuk pencatatan tombol, melakukan gerakan, merekam kamera, layar, dan panggilan,” kata perusahaan Singapura tersebut.
“Korban yang mengunduh aplikasi yang mengandung malware android CraxsRAT akan mengalami kebocoran kredensial dan penarikan dana secara tidak sah.”