Peretas APT Mendistribusikan Trojan Android melalui Portal e-Government Suriah

  • Whatsapp
Android Malware

Aktor ancaman persisten tingkat lanjut (APT) telah dilacak dalam kampanye baru yang menyebarkan malware Android melalui Portal Web e-Government Suriah, yang menunjukkan persenjataan yang ditingkatkan yang dirancang untuk membahayakan korban.

“Sepengetahuan kami, ini adalah pertama kalinya grup tersebut diamati secara publik menggunakan aplikasi Android berbahaya sebagai bagian dari serangannya,” peneliti Trend Micro Zhengyu Dong, Fyodor Yarochkin, dan Steven Du dikatakan dalam penulisan teknis yang diterbitkan Rabu.

Bacaan Lainnya

Kasihan Yang Kuat, juga diberi nama kode Prometium oleh Microsoft, diyakini telah aktif sejak 2002 dan biasanya berfokus pada target di seluruh Turki dan Suriah. Pada Juni 2020, pelaku ancaman spionase terhubung dengan gelombang aktivitas yang mengandalkan serangan lubang air dan penginstal yang merusak, yang menyalahgunakan popularitas aplikasi yang sah, untuk menginfeksi target dengan malware.

Tim Stack Overflow

“Promethium telah bertahan selama bertahun-tahun,” Cisco Talos diungkapkan tahun lalu. “Kampanyenya telah diekspos beberapa kali, tetapi itu tidak cukup untuk membuat aktor di belakangnya menghentikan mereka. Fakta bahwa grup tersebut tidak menahan diri untuk meluncurkan kampanye baru bahkan setelah diekspos menunjukkan tekad mereka untuk menyelesaikan misi mereka.”

Operasi terbaru tidak berbeda karena menggarisbawahi kecenderungan aktor ancaman untuk mengemas ulang aplikasi jinak ke dalam varian trojan untuk memfasilitasi serangan.

Malware, yang menyamar sebagai aplikasi Android e-Gov Suriah, dikatakan telah dibuat pada Mei 2021, dengan file manifes aplikasi (“AndroidManifest.xml“) dimodifikasi untuk secara eksplisit meminta izin tambahan di telepon, termasuk kemampuan untuk membaca kontak, menulis ke penyimpanan eksternal, menjaga perangkat tetap terjaga, mengakses informasi tentang jaringan seluler dan Wi-Fi, lokasi yang tepat, dan bahkan mengizinkan aplikasi untuk memiliki dirinya sendiri dimulai segera setelah sistem selesai booting.

Spyware Android

Selain itu, aplikasi berbahaya dirancang untuk melakukan tugas yang berjalan lama di latar belakang dan memicu permintaan ke server perintah-dan-kontrol (C2) jarak jauh, yang merespons kembali dengan muatan terenkripsi yang berisi file pengaturan yang memungkinkan “malware untuk ubah perilakunya sesuai dengan konfigurasi” dan perbarui alamat server C2-nya.

Last but not least, implan “sangat modular” memiliki kapasitas untuk memindahkan data yang disimpan pada perangkat yang terinfeksi, seperti kontak, dokumen Word dan Excel, PDF, gambar, kunci keamanan, dan file yang disimpan menggunakan Dagesh Pro Word Processor (.DGS ), antara lain, semuanya dieksfiltrasi kembali ke server C2.

Manajemen Kata Sandi Perusahaan

Meskipun tidak ada laporan publik yang diketahui tentang StrongPity yang menggunakan aplikasi Android berbahaya dalam serangan mereka, atribusi Trend Micro ke musuh berasal dari penggunaan server C2 yang sebelumnya telah digunakan dalam intrusi yang terkait dengan grup peretasan, terutama kampanye malware didokumentasikan oleh Alien Labs AT&T pada Juli 2019 yang memanfaatkan versi tercemar dari perangkat lunak manajemen router WinBox, WinRAR, dan utilitas tepercaya lainnya untuk menembus target.

“Kami percaya bahwa pelaku ancaman sedang menjajaki berbagai cara untuk mengirimkan aplikasi kepada calon korban, seperti menggunakan aplikasi palsu dan menggunakan situs web yang disusupi sebagai lubang untuk mengelabui pengguna agar menginstal aplikasi berbahaya,” kata para peneliti.

“Biasanya, situs web ini akan mengharuskan penggunanya untuk mengunduh aplikasi langsung ke perangkat mereka. Untuk melakukannya, pengguna ini akan diminta untuk mengaktifkan penginstalan aplikasi dari ‘sumber tidak dikenal’ di perangkat mereka. Ini melewati ‘kepercayaan- rantai’ ekosistem Android dan memudahkan penyerang untuk mengirimkan komponen berbahaya tambahan,” tambah mereka.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *