Portal Berita Ekonomi Jum'at, 29 Mei 2020

Perspektif Baru Bisnis & Ekonomi

  • icon facebook kecil
  • icon twitter kecil
  • icon feed kecil
  • icon youtube kecil
  • icon email kecil
Executive Brief

PhantomLance: Kampanye Spionase Android Canggih Menargetkan Asia Tenggara, Termasuk Indonesia

PhantomLance: Kampanye Spionase Android Canggih Menargetkan Asia Tenggara, Termasuk Indonesia
WE Online, Jakarta -

Peneliti Kaspersky mendeteksi kampanye canggih berbahaya yang menargetkan pengguna perangkat Android. Dijuluki sebagai PhantomLance, kampanye ini telah aktif setidaknya sejak tahun 2015 dan masih berlangsung hingga kini.

Menampilkan beberapa versi spyware yang kompleks, ancaman ini bekerja dengan perangkat lunak yang dibuat untuk mengumpulkan data korban, memiliki taktik distribusi cerdas, termasuk distribusi melalui puluhan aplikasi di pasar resmi Google Play. Pada Juli 2019, peneliti keamanan pihak ketiga melaporkan sampel spyware baru yang ditemukan di Google Play.

Baca Juga: Masa Karantina Covid-19, Ancaman Serangan Siber Meningkat

"Kampanye ini adalah contoh luar biasa tentang bagaimana aktor ancaman melangkah lebih jauh ke perairan yang lebih dalam dan menjadi lebih sulit ditemukan. PhantomLance telah berlangsung selama lebih dari lima tahun dan aktor ancaman berhasil melewati filter app store beberapa kali, menggunakan teknik canggih untuk mencapai tujuan mereka," ujar Alexey Firsh, peneliti keamanan di Kaspersky GReAT Team dalam keterangan tertulisnya, Kamis (30/4/2020).

Laporan tersebut menarik perhatian Kaspersky karena berbagai fiturnya yang tidak terduga dan tingkat kecanggihan hingga perilaku berbeda dari Trojan umum yang biasanya diunggah ke toko aplikasi resmi. Peneliti Kaspersky dapat menemukan sampel lain yang sangat mirip dari malware ini di Google Play.

Jika pembuat malware berhasil mengunggah aplikasi berbahaya di toko aplikasi yang sah, biasanya mereka menginvestasikan sumber daya cukup besar untuk mempromosikan aplikasi dan meningkatkan jumlah instalasi sehingga dapat meningkatkan jumlah korban.

Namun, lain halnya dengan aplikasi berbahaya yang baru ditemukan ini. Sepertinya operator di belakang mereka tidak begitu tertarik dengan penyebaran massal. Bagi para peneliti, ini adalah petunjuk aktivitas APT yang ditargetkan. Penelitian tambahan akan memungkinkan ditemukannya beberapa versi malware tersebut dengan lusinan sampel, yang dihubungkan dengan beberapa kesamaan kode.

Fungsionalitas semua sampel hampir serupa - tujuan utama spyware adalah untuk mengumpulkan informasi. Selain mengumpulkan data mulai dari geolokasi, log panggilan, akses kontak, dan SMS, aplikasi juga dapat mengumpulkan daftar aplikasi yang diinstal serta informasi perangkat seperti model dan versi OS.

Selain itu, aktor ancaman dapat mengunduh dan mengeksekusi berbagai muatan berbahaya. Dengan demikian, sekaligus dapat menyesuaikan dirinya dengan perangkat tertentu, seperti versi android dan aplikasi yang diinstal. Dengan cara ini, sang aktor dapat menghindari kelebihan aplikasi dengan fitur yang tidak perlu dan di saat yang sama juga melakukan pengumpulan informasi.

Penelitian lebih lanjut menunjukkan bahwa PhantomLance banyak didistribusikan di berbagai platform dan pasar (marketplace), termasuk, tetapi tidak terbatas pada Google Play dan APKpure. Untuk membuat aplikasi tampak sah, dalam hampir setiap kasus penyebaran malware para pelaku ancaman mencoba membangun profil pengembang palsu dengan membuat akun Github terkait.

Untuk menghindari mekanisme penyaringan yang dilakukan oleh pasar, versi pertama aplikasi yang diunggah oleh aktor ancaman ke pasar tidak mengandung muatan berbahaya apa pun. Namun, dengan pembaruan selanjutnya, aplikasi menerima muatan berbahaya dan kode untuk menjalankannya.

Menurut Kaspersky Security Network, sejak tahun 2016, sekitar 300 upaya infeksi diamati pada perangkat Android di negara-negara seperti India, Vietnam, Bangladesh, dan Indonesia. Sementara, statistik deteksi termasuk infeksi kolateral, Vietnam menonjol sebagai salah satu negara teratas dengan jumlah upaya serangan; beberapa aplikasi berbahaya yang digunakan dalam kampanye juga dibuat secara eksklusif dalam bahasa Vietnam.

Menggunakan mesin atribusi malware Kaspersky - sebuah alat internal untuk menemukan kesamaan antara potongan kode berbahaya yang berbeda - para peneliti dapat menyimpulkan bahwa muatan PhantomLance setidaknya 20% mirip dengan salah satu kampanye lama Android yang terkait dengan OceanLotus, aktor ancaman yang telah beroperasi setidaknya sejak tahun 2013 dan menargetkan sebagian besar lokasi di Asia Tenggara.

Selain itu, beberapa tumpang tindih penting ditemukan dengan kegiatan OceanLotus yang dilaporkan sebelumnya pada Windows dan MacOS. Dengan demikian, para peneliti Kaspersky percaya bahwa kampanye PhantomLance dapat dikaitkan dengan OceanLotus.

Kaspersky telah melaporkan seluruh sampel yang ditemukan kepada para pemiliki toko aplikasi yang sah. Google Play mengonfirmasi bahwa mereka telah menghapus aplikasi.

Baca Juga

Tag: Digital Economy, Kaspersky Lab, Keamanan Siber

Penulis: Bernadinus Adi Pramudita

Editor: Puri Mei Setyaningrum

Foto: Unsplash

loading...
Kurs Rupiah
Mata Uang Simbol Nilai Jual Beli
Arab Saudi Riyal SAR 1.00 3,942.14 3,901.87
British Pound GBP 1.00 18,246.26 18,063.24
China Yuan CNY 1.00 2,070.20 2,049.34
Dolar Amerika Serikat USD 1.00 14,806.67 14,659.34
Dolar Australia AUD 1.00 9,828.67 9,729.40
Dolar Hong Kong HKD 1.00 1,909.87 1,890.84
Dolar Singapura SGD 1.00 10,467.04 10,359.23
EURO Spot Rate EUR 1.00 16,417.64 16,248.41
Ringgit Malaysia MYR 1.00 3,407.75 3,369.19
Yen Jepang JPY 100.00 13,785.19 13,645.48
Ringkasan BEI
No Name Today Change Stock
1 Composite Index 4753.612 37.427 692
2 Agriculture 964.931 -6.866 22
3 Mining 1238.201 -5.085 49
4 Basic Industry and Chemicals 745.733 20.935 78
5 Miscellanous Industry 858.396 28.927 52
6 Consumer Goods 1806.725 -11.041 58
7 Cons., Property & Real Estate 322.957 -4.552 90
8 Infrastruc., Utility & Trans. 864.084 3.083 78
9 Finance 962.515 13.502 93
10 Trade & Service 606.633 2.757 172
No Code Prev Close Change %
1 KRAH 416 510 94 22.60
2 AKSI 96 117 21 21.88
3 WINS 63 73 10 15.87
4 DIVA 815 940 125 15.34
5 IKBI 210 240 30 14.29
6 AHAP 50 57 7 14.00
7 PDES 360 410 50 13.89
8 DMMX 80 91 11 13.75
9 AMAR 175 195 20 11.43
10 DUCK 422 470 48 11.37
No Code Prev Close Change %
1 SINI 860 800 -60 -6.98
2 BRNA 1,075 1,000 -75 -6.98
3 MLPT 575 535 -40 -6.96
4 PTBA 2,090 1,945 -145 -6.94
5 CASS 202 188 -14 -6.93
6 SIPD 1,300 1,210 -90 -6.92
7 TBLA 535 498 -37 -6.92
8 DSSA 20,975 19,525 -1,450 -6.91
9 POLA 58 54 -4 -6.90
10 GGRP 290 270 -20 -6.90
No Code Prev Close Change %
1 BBRI 2,730 2,950 220 8.06
2 PURA 75 75 0 0.00
3 TLKM 3,130 3,150 20 0.64
4 BBCA 26,475 25,950 -525 -1.98
5 ICBP 8,325 8,150 -175 -2.10
6 BBNI 3,660 3,830 170 4.64
7 BMRI 4,290 4,470 180 4.20
8 ASII 4,540 4,770 230 5.07
9 PWON 376 362 -14 -3.72
10 KLBF 1,355 1,415 60 4.43