Bagikan:

JAKARTA - Aplikasi palsu yang menyamar sebagai Signal dan Telegram ditemukan peneliti di Google Play Store juga Samsung Galaxy Store, yang berisi spyware BadBazaar.

BadBazaar sendiri memiliki kemampuan untuk melacak lokasi perangkat secara tepat, mencuri log panggilan atau SMS, merekam panggilan telepon, mengambil gambar menggunakan kamera, mengeksfiltrasi daftar kontak, dan mencuri file atau database.

Malware ini sebelumnya pernah digunakan untuk menargetkan etnis minoritas di China, namun kali ini peneliti dari perusahaan keamanan ESET, Lukas Stefanko, menemukan penyerang menargetkan pengguna di Ukraina, Polandia, Belanda, Spanyol, Portugal, Jerman, Hong Kong, dan Amerika Serikat (AS).

Kedua aplikasi palsu tersebut tercantum dengan nama Signal Plus Messenger, telah diunduh sekitar 100 kali sebelum Google menghapusnya pada April lalu setelah diberi tahu ESET.

Itu juga tersedia di toko aplikasi Samsung dan di signalplusdotorg, situs web khusus yang meniru Signal.org resmi. Terdapat juga aplikasi palsu Telegram dengan nama FlyGram, telah diunduh sebanyak 5.000 kali serta dibuat oleh pelaku ancaman yang sama dan tersedia melalui tiga saluran serupa.

Google menghapusnya dari 2021. Namun, kedua aplikasi ini tetap tersedia di Samsung Galaxy Store. Dari hasil penelitian, Signal Plus Messenger dan FlyGram dibuat berdasarkan kode sumber terbuka yang tersedia dari Signal dan Telegram asli. Terjalin ke dalam kode itu adalah BadBazaar.

Malware FlyGram juga dibagikan di grup Telegram Uyghur. Aplikasi tersebut menargetkan data sensitif seperti daftar kontak, log panggilan, Akun Google, data WiFi dan menawarkan fitur cadangan berbahaya untuk mengirimkan data komunikasi Telegram ke server yang dikendalikan penyerang.

Sementara Signal Plus Messenger, dapat memantau pesan dan kontak yang dikirim dan diterima jika orang menghubungkan perangkat yang terinfeksi ke nomor sah Signal mereka, seperti biasa ketika seseorang pertama kali menginstal aplikasi di perangkat.

Hal ini menyebabkan aplikasi palsu mengirimkan sejumlah informasi pribadi kepada penyerang, termasuk nomor IMEI perangkat, nomor telepon, alamat MAC, detail operator, data lokasi, informasi Wi-Fi, email untuk akun Google, daftar kontak, dan PIN yang digunakan untuk mentransfer teks jika sudah diatur oleh pengguna.

"Signal Plus Messenger dapat memata-matai pesan Signal dengan menyalahgunakan fitur perangkat tautan. Hal ini dilakukan dengan secara otomatis menghubungkan perangkat yang disusupi ke perangkat Signal penyerang," ujar Stefanko, dikutip dari ArsTechnica dan BleepingComputer, Kamis, 31 Agustus.

"Metode spionase ini unik, karena kami belum pernah melihat fungsi ini disalahgunakan sebelumnya oleh malware lain, dan ini adalah satu-satunya metode yang digunakan penyerang untuk mendapatkan konten pesan Signal," imbuhnya.

Stefanko menjelaskan, BadBazaar dapat melewati pemindaian kode QR biasa dan proses klik pengguna dengan menerima URI dari server C&C-nya, dan langsung memicu tindakan yang diperlukan ketika tombol Tautkan perangkat diklik.

"Hal ini memungkinkan malware untuk secara diam-diam menghubungkan ponsel pintar korban ke perangkat penyerang, memungkinkan mereka memata-matai komunikasi Signal tanpa sepengetahuan korban," kata Stefanko.

Dia menambahkan, selama penelitian, server belum mengembalikan URI untuk ditautkan ke perangkat, yang menunjukkan kemungkinan besar hanya diaktifkan untuk pengguna yang ditargetkan secara spesifik, berdasarkan data yang sebelumnya dikirim oleh malware ke server C&C.

"Satu-satunya cara untuk mencegah menjadi korban Signal palsu atau aplikasi perpesanan berbahaya lainnya adalah, dengan hanya mengunduh versi resmi aplikasi tersebut, hanya dari saluran resmi," tegas Stefanko.