Perusahaan induk Facebook, Meta, mengungkap telah telah mengambil tindakan terhadap dua operasi spionase di Asia Selatan yang mendistribusikan malware ke target potensial.
Operasi spionase itu memanfaatkan platform media sosial miliknya.
Kasus pertama dilakukan oleh kelompok peretas yang terlacak di bawah moniker Bitter APT (alias APT-C-08 atau T-APT-17).
Kelompok ini menarget individu di Selandia Baru, India, Pakistan, dan Inggris Raya “Bitter menggunakan berbagai taktik jahat untuk menarget orang online dengan rekayasa sosial dan menginfeksi perangkat mereka dengan malware,” kata Meta dalam Laporan Ancaman Permusuhan Triwulanan.
“Mereka menggunakan campuran layanan tautan, domain jahat, situs web yang disusupi, dan penyedia hosting pihak ketiga untuk mendistribusikan malware.” Serangan tersebut melibatkan pelaku yang menciptakan tokoh fiktif di platform yang menyamar sebagai perempuan muda yang menarik.
Dengan begitu target terpikat dan mudah percaya untuk mengklik tautan palsu yang menyebarkan malware.
Uniknya, penyerang disebutkan meyakinkan korbannya untuk mengunduh aplikasi obrolan iOS melalui Apple TestFlight, layanan online sah yang dapat digunakan untuk aplikasi pengujian beta dan memberikan umpan balik kepada pengembang aplikasi.
Itu artinya, menurut Meta, peretas tak perlu bergantung pada eksploitasi untuk mengirimkan malware khusus ke target.
“Mereka dapat memanfaatkan layanan resmi Apple untuk mendistribusikan aplikasi dalam upaya membuatnya tampak lebih sah dan meyakinkan orang untuk mengunduh Apple Testflight, lalu menipu mereka untuk menginstal aplikasi obrolan mereka,” kata para peneliti.
Sementara fungsi spesifiknya tidak diketahui, diduga aplikasi yang disebar telah digunakan untuk mengawasi korban melalui media obrolan yang dirancang khusus.
Selain itu, operator Bitter APT menggunakan malware Android yang sebelumnya tidak terdokumentasi bernama Dracarys.
Mereka menyalahgunakan izin aksesibilitas sistem operasi untuk menginstal sembarang aplikasi, merekam audio, mengambil foto, dan mengumpulkan data sensitif dari ponsel yang terinfeksi.
Data itu seperti kumpulan panggilan, kontak, file, pesan teks, geolokasi, dan informasi perangkat.
Dracarys dikirim melalui aplikasi trojan yang menyamar sebagai YouTube, Signal, Telegram, dan WhatsApp.
Modus ini melanjutkan tren penyerang yang menyebar malware yang disamarkan sebagai perangkat lunak yang sah untuk membobol perangkat seluler.
Pelaku diyakini beroperasi di luar Asia Selatan dan baru-baru ini memperluas fokus untuk menyerang entitas militer di Bangladesh.
Kasus kedua adalah Transparent Tribe (alias APT36), yang diduga berbasis di Pakistan.
Kelompok ini memiliki rekam jejak menarget lembaga pemerintah di India dan Afganistan dengan alat jahat yang dipesan lebih dahulu.
Bulan lalu, Cisco Talos mengaitkan aktor tersebut dengan kampanye phishing yang menarget siswa di berbagai lembaga pendidikan di India.
Kelompok ini dinilai menandai penyimpangan dari pola viktimologi yang khas untuk memasukkan pengguna sipil.
Serangkaian intrusi terbaru menunjukkan penggabungan, setelah memilih personel militer, pejabat pemerintah, karyawan hak asasi manusia dan organisasi nirlaba lainnya.
Kini sasaran juga mencakup siswa yang berlokasi di Afganistan, India, Pakistan, Arab Saudi, dan Uni Emirat Arab.
Targetnya adalah rekayasa sosial menggunakan persona palsu dengan menyamar sebagai perekrut untuk perusahaan, personel militer, atau perempuan muda yangingin menjalin hubungan romantis.
Ujung-ujungnya, korban diarahkan membuka tautan yang menampung malware.
File yang diunduh berisi LazaSpy, versi modifikasi dari perangkat lunak pemantauan Android open source yang disebut XploitSPY.
Selain itu juga menggunakan aplikasi klon WhatsApp, WeChat, dan YouTube tidak resmi untuk mengirimkan malware komoditas lain yang dikenal sebagai Mobzsar (alias CapraSpy).
Kedua bagian malware dilengkapi dengan fitur untuk mengumpulkan log panggilan, kontak, file, pesan teks, geolokasi, informasi perangkat, dan foto, serta mengaktifkan mikrofon perangkat, menjadikannya alat pengawasan yang efektif.
THE HACKER NEWS
