| Baca juga: 10 Kebiasaan yang Bisa Merusak HP Android |
Menurut peneliti Lookout, dikutip dari Bleepingcomputer, spyware tersebut dikaitkan dengan kelompok ancaman Korea Utara APT37 (alias 'ScarCruft'). Kampanye tersebut telah aktif sejak Maret 2022, dengan pelaku ancaman secara aktif mengembangkan malware berdasarkan sampel yang lebih baru.
Kampanye spyware tersebut terutama menargetkan pengguna berbahasa Korea dan Inggris dengan menyamar sebagai pengelola berkas, alat keamanan, dan pemutakhiran perangkat lunak.
Lima aplikasi yang diidentifikasi Lookout adalah Phone Manager (Pengelola Telepon), File Manager (com.file.exploer), Smart Manager (Pengelola Cerdas), Kakao Security (Keamanan Kakao), dan Software Update Utility.
Aplikasi berbahaya tersebut menawarkan setidaknya beberapa fungsi yang dijanjikan tetapi memuat spyware KoSpy di latar belakang. Satu-satunya pengecualian adalah Kakao Security, yang hanya menampilkan jendela sistem palsu saat meminta akses ke izin yang berisiko.
Kampanye tersebut dikaitkan dengan APT37 berdasarkan alamat IP yang sebelumnya terkait dengan operasi Korea Utara, domain yang memfasilitasi distribusi malware Konni, dan infrastruktur yang tumpang tindih dengan APT43, kelompok ancaman lain yang disponsori DPRK.
Detail KoSpy
Setelah aktif di perangkat, KoSpy mengambil file konfigurasi terenkripsi dari database Firebase Firestore untuk menghindari deteksi.Selanjutnya, ia terhubung ke server perintah dan kontrol (C2) yang sebenarnya dan menjalankan pemeriksaan untuk memastikan ia tidak berjalan di emulator.
Malware tersebut dapat mengambil pengaturan yang diperbarui dari C2, muatan tambahan untuk dijalankan, dan diaktifkan/dinonaktifkan secara dinamis melalui sakelar "on/off".
Kemampuan pengumpulan data KoSpy meliputi:
- Penyadapan SMS dan log panggilan
- Melacak lokasi GPS korban secara real-time
- Membaca dan mengekstrak file dari penyimpanan lokal
- Menggunakan mikrofon perangkat untuk merekam audio
- Menggunakan kamera perangkat untuk mengambil foto dan video
- Mengambil tangkapan layar dari tampilan perangkat
- Merekam penekanan tombol melalui Layanan Aksesibilitas Android
Setiap aplikasi menggunakan proyek Firebase dan server C2 yang terpisah untuk ekstraksi data, yang dienkripsi dengan kunci AES yang dikodekan secara keras sebelum transmisi.
Meskipun aplikasi spyware kini telah dihapus dari Google Play dan APKPure, pengguna perlu menghapusnya secara manual dan memindainya dengan alat keamanan untuk mencabut sisa-sisa infeksi dari perangkat mereka. Dalam kasus kritis, disarankan untuk melakukan reset pabrik.
Google Play Protect juga dapat memblokir aplikasi berbahaya yang diketahui, jadi mengaktifkannya pada perangkat Android terbaru dapat membantu melindungi dari KoSpy.
Seorang juru bicara Google mengkonfirmasi kepada BleepingComputer semua aplikasi KoSpy yang diidentifikasi oleh Lookout telah dihapus dari Google Play dan proyek Firebase terkait juga telah dihapus.
"Penggunaan bahasa daerah menunjukkan bahwa ini dimaksudkan sebagai malware yang ditargetkan. Sebelum penginstalan apapun oleh pengguna, sampel malware terbaru yang ditemukan pada Maret 2024 telah dihapus dari Google Play," kata Google kepada BleepingComputer.
Google Play Protect secara otomatis melindungi pengguna Android dari versi malware yang diketahui ini pada perangkat dengan Layanan Google Play, bahkan saat aplikasi berasal dari sumber di luar Play.
Cek Berita dan Artikel yang lain di
Google News
