Spyware Mata-mata Sukses 'Ngumpet' di Google Play selama 2 Tahun
- The Sydney Morning Herald
Jakarta, VIVA – Peneliti Kaspersky mengidentifikasi spyware baru yang mendistribusikan malware Mandrake melalui Google Play dengan kedok aplikasi sah yang terkait dengan aset kripto, astronomi, dan alat utilitas.
Mereka menemukan lima aplikasi Mandrake di Google Play, yang tersedia selama dua tahun, dengan lebih dari 32 ribu unduhan.
Sampel terbaru menampilkan teknik pengaburan dan penghindaran tingkat lanjut, yang memungkinkannya agar tetap tidak terdeteksi oleh vendor keamanan.
Pertama kali diidentifikasi pada 2020, spyware Mandrake adalah platform spionase atau mata-mata Android canggih yang telah aktif setidaknya sejak 2016.
Pada April 2024, peneliti Kaspersky menemukan sampel yang mencurigakan yang menunjukkan versi baru Mandrake dengan fungsionalitas yang ditingkatkan.
Sampel baru ini menampilkan teknik pengaburan dan penghindaran tingkat lanjut, termasuk mengalihkan fungsi berbahaya ke pustaka asli yang dikaburkan menggunakan OLLVM, menerapkan penyematan sertifikat untuk komunikasi yang aman dengan server perintah dan kontrol (C2), dan melakukan pemeriksaan ekstensif untuk mendeteksi apakah Mandrake beroperasi pada perangkat yang di-rooting atau dalam lingkungan yang diemulasi.
Fitur pembeda utama dari varian Mandrake baru adalah penambahan teknik pengaburan canggih yang dirancang untuk melewati pemeriksaan keamanan Google Play dan menghalangi analisis.
Aplikasi-aplikasi ini, yang semuanya dipublikasikan di Google Play pada 2022, tersedia untuk diunduh setidaknya selama satu tahun.
Aplikasi-aplikasi tersebut disajikan sebagai aplikasi berbagi file melalui Wi-Fi, aplikasi layanan astronomi, game Amber for Genshin, aplikasi aset kripto, dan aplikasi dengan teka-teki logika.
Hingga Juli 2024, tidak ada satu pun aplikasi ini yang terdeteksi sebagai malware oleh vendor mana pun, menurut VirusTotal.
Meskipun aplikasi berbahaya ini tidak lagi tersedia di Google Play, aplikasi tersebut tersedia di berbagai negara dengan mayoritas unduhan terjadi di Kanada, Jerman, Italia, Meksiko, Spanyol, Peru, dan Inggris.
"Dengan mempertimbangkan kesamaan kampanye saat ini dan sebelumnya dengan domain C2 yang terdaftar di Rusia, kami berasumsi dengan keyakinan tinggi bahwa pelaku ancaman tersebut sama seperti yang dinyatakan dalam laporan deteksi pertama Bitdefender," kata Peneliti Keamanan Utama Kaspersky Tatyana Shishkova.
Menurutnya, setelah menghindari deteksi selama empat tahun dalam versi awalnya, spyware Mandrake terbaru tetap tidak terdeteksi di Google Play selama dua tahun berikutnya. Hal tersebut menunjukkan keterampilan canggih dari pelaku ancaman siber yang terlibat.
"Tentu ini tren yang meresahkan dengan seiring pengetatan pembatasan dan pemeriksaan keamanan, maka kecanggihan ancaman siber yang lolos menembus toko aplikasi (seperti Google Play) resmi meningkat, sehingga semakin sulit dideteksi," tutur dia.
