Spyware Berbahaya Mirip Pegasus Merebak di Aplikasi Andorid
Para peneliti menemukan spyware di Android yang serupa dengan perangkat lunak yang dikembangkan NSO Group, Pegasus.
Spyware mirip Pegasus itu bernama PhoneSpy, dan telah mengintai aktivitas warga Korea Selatan. PhoneSpy menyamar sebagai aplikasi asli dan memberikan akses lengkap ke data yang tersimpan di perangkat seluler dan memberikan kontrol penuh atas perangkat yang ditargetkan.
Laporan tersebut diungkap oleh Zimperium zLabs yang diterbitkan Rabu lalu. Perusahaan itu menyebut aplikasi ini sudah diunduh di ribuan perangkat.
Sebelumnya, Spyware Pegasus yang dikembangkan oleh NSO Group yang berbasis di Israel, yang telah dimasukkan dalam daftar hitam oleh pemerintah Amerika Serikat (AS) lantaran serangan siber terhadap para aktivis dan LSM.
Namun, tidak jelas siapa yang menjadi dalang di balik PhoneSpy, dan apakah spyware dijual secara komersial, serta apakah korbannya adalah pejabat atau individu acak.
Apa yang dilakukan malware mirip Pegasus?
Menurut Zimperium, penyerang mempersenjatai PhoneSpy untuk tujuan yang sama seperti yang dilakukan NSO Group. Namun, para peneliti mengakui bahwa mereka tidak yakin mengapa ribuan orang di Korea Selatan menjadi sasaran pengintaian.
Tim peneliti menyebut spyware jenis ini berpotensi lebih berbahaya daripada Pegasus. Mereka berpendapat bahwa PhoneSpy “bersembunyi di depan mata, menyamar sebagai aplikasi biasa dengan tujuan mulai dari belajar yoga hingga menonton TV dan video, atau menjelajahi foto,” kata peneliti Zimperium Aazim Yaswant.
Fitur PhoneSpy termasuk mencuri data, menyadap pesan dan melihat gambar yang disimpan di telepon. Para peneliti mengatakan penyerang juga bisa mendapatkan kendali jarak jauh penuh dari ponsel Android.
23 Aplikasi terinfeksi
Sejauh ini Zimperium telah mengidentifikasi 23 aplikasi yang diam-diam mengandung spyware.
“Aplikasi Android berbahaya ini dirancang untuk berjalan diam-diam di latar belakang, terus-menerus memata-matai korbannya tanpa menimbulkan kecurigaan,” tulis Yaswant.
Peneliti meyakini aktor jahat yang bertanggung jawab atas PhoneSpy telah mengumpulkan sejumlah informasi pribadi dan perusahaan tentang korban mereka, termasuk komunikasi dan foto pribadi.
Sejauh ini para peneliti telah menemukan PhoneSpy hanya menargetkan pengguna Android di Korea Selatan. Karena belum terlihat di toko aplikasi resmi Google atau toko aplikasi Android pihak ketiga lainnya, Yaswant menduga PhoneSpy didistribusikan melalui rekayasa sosial.
Setelah terinstal, spyware memasuki jalur malware. Spyware pertama meminta izin dan membuka halaman phishing yang meniru halaman login dari aplikasi pesan populer Korea Selatan “Kakao Talk” untuk mencuri kredensial.
Info ini kemudian dapat digunakan untuk login ke layanan lain di Korea Selatan dengan fitur single sign-on, menurut laporan Ars Technica.
Selain mencuri data, PhoneSpy memiliki kemampuan lain yaitu merekam atau streaming langsung video atau audio, melihat pesan SMS, mengirim pesan SMS sebagai pemilik perangkat, mengedit info kontak di buku alamat perangkat, mengaktifkan penerusan panggilan, dan melihat lokasi GPS perangkat.
PhoneSpy juga dapat menginstal atau menghapus aplikasi apa pun di perangkat, termasuk aplikasi keamanan, sehingga memberikan cara tambahan untuk menghindari deteksi, seperti dikutip Threat Post.
(can/eks)
