Researchers menemukan spyware Android baru yang menyediakan kemampuan serupa dengan perangkat lunak kontroversial Pegasus milik NSO Group. Disebut PhoneSpy, perangkat pengawasan seluler telah melihat aktivitas yang menargetkan warga Korea Selatan tanpa sepengetahuan mereka.
PhoneSpy menyamar sebagai aplikasi yang sah dan memberi penyerang akses lengkap ke data yang tersimpan di perangkat seluler dan memberikan kontrol penuh atas perangkat yang ditargetkan, menurut sebuah Laporan Zimperium zLabs diterbitkan Rabu.
Spyware Pegasus, yang dikembangkan oleh NSO Group yang berbasis di Israel, yang telah dimasukkan dalam daftar hitam oleh pemerintah AS, telah dikaitkan dengan serangan siber terhadap pembangkang, aktivis, dan pekerja LSM. Namun, tidak jelas dari laporan Zimperium siapa yang berada di balik PhoneSpy dan apakah itu dijual secara komersial. Juga tidak jelas dari laporan tersebut adalah apakah korban profil tinggi atau individu acak menjadi sasaran PhoneSpy.
Menurut Zimperium, penyerang mempersenjatai PhoneSpy untuk tujuan yang sama seperti yang dilakukan NSO Group. Namun, para peneliti mengakui bahwa mereka tidak yakin mengapa ribuan orang di Korea Selatan menjadi sasaran atau hubungan apa yang mereka miliki satu sama lain.
Bersembunyi di Pandangan Biasa
Spyware berpotensi lebih berbahaya daripada Pegasus, para peneliti menegaskan. Mereka berpendapat bahwa PhoneSpy “bersembunyi di depan mata, menyamar sebagai aplikasi biasa dengan tujuan mulai dari belajar yoga hingga menonton TV dan video, atau menjelajahi foto,” tulis peneliti Zimperium Aazim Yaswant dalam posting tersebut.
Fitur PhoneSpy termasuk mencuri data, menguping pesan dan melihat gambar yang disimpan di telepon. Para peneliti mengatakan penyerang juga bisa mendapatkan kendali jarak jauh penuh dari ponsel Android. Sejauh ini, tulis Yaswant, Zimperium telah mengidentifikasi 23 aplikasi yang diam-diam mengandung spyware.
Klik untuk mendaftar ke acara LIVE kami!
“Aplikasi Android berbahaya ini dirancang untuk berjalan diam-diam di latar belakang, terus-menerus memata-matai korbannya tanpa menimbulkan kecurigaan,” tulis Yaswant. “Kami yakin pelaku jahat yang bertanggung jawab atas PhoneSpy telah mengumpulkan sejumlah besar informasi pribadi dan perusahaan tentang korban mereka, termasuk komunikasi dan foto pribadi.” spyware yang setara dengan Pegasus tidak hanya terbatas pada perusahaan yang terorganisir dan canggih seperti NSO. Ini juga berarti lebih mudah bagi penjahat dunia maya di balik spyware untuk menutupi jejak mereka, karena spyware tidak membawa sidik jari tertentu dari organisasi tertentu, tulis Yaswant.
Kemampuan Spesifik
Sejauh ini para peneliti telah menemukan PhoneSpy—yang menyamar sebagai berbagai aplikasi gaya hidup—menargetkan hanya pengguna Android di Korea Selatan, kata mereka. Karena belum terlihat di toko aplikasi resmi Google atau toko aplikasi Android pihak ketiga lainnya, Yaswant menduga PhoneSpy didistribusikan melalui taktik rekayasa sosial sebagai lawan pengiriman melalui kerentanan nol hari. jalur untuk malware dari jenisnya. Ini pertama meminta izin dan membuka halaman phishing yang meniru halaman login dari aplikasi pesan populer Korea Selatan “Kakao Talk” untuk mencuri kredensial, jelas Yaswant. Info ini kemudian dapat digunakan untuk login ke layanan lain di Korea Selatan dengan fitur single-sign-on, katanya.
Sementara itu, di latar belakang, spyware bertindak seperti Remote Access Trojan (RAT), menyalahgunakan izin untuk mengekstrak data ke sebuah server perintah-dan-kontrol dan membiarkan perangkat terbuka untuk diakses oleh para pelaku ancaman, para peneliti menemukan.
Selain mencuri data, kemampuan PhoneSpy lainnya termasuk merekam atau streaming langsung video atau audio; melihat pesan SMS (seperti pesan otentikasi dua faktor); mengirim pesan SMS sebagai pemilik perangkat; mengedit info kontak di buku alamat perangkat; mengaktifkan penerusan panggilan; dan melihat lokasi GPS perangkat.
PhoneSpy juga dapat menginstal atau menghapus aplikasi apa pun di perangkat, termasuk aplikasi keamanan, sehingga memberikan cara tambahan untuk menghindari deteksi, tulis Yaswant.
Ingin memenangkan kembali kendali atas sandi lemah yang ada antara jaringan Anda dan serangan cyber berikutnya? Bergabunglah dengan Darren James, kepala TI internal di Specops, dan Roger Grimes, penginjil pertahanan berbasis data di KnowBe4, untuk mengetahui caranya selama acara LIVE Threatpost gratis, “Reset Kata Sandi: Mengklaim Kontrol Kredensial untuk Menghentikan Serangan”, pada hari Rabu ., 17 November jam 2 siang ET. Disponsori oleh Specops.
Daftar SEKARANG untuk acara LANGSUNG dan kirimkan pertanyaan sebelumnya ke Becky Bracken dari Threatpost di becky.bracken@threatpost.com.
Tulis komentar
Bagikan artikel ini: