Penyerang telah menggunakan spyware baru terhadap perangkat Android perusahaan, yang dijuluki RatMilad dan menyamar sebagai aplikasi yang berguna untuk mengatasi pembatasan Internet di beberapa negara.
Untuk saat ini, kampanye tersebut beroperasi di Timur Tengah dalam upaya luas untuk mengumpulkan informasi pribadi dan perusahaan para korban, menurut peneliti dari Zimperium zLabs.
Versi asli RatMilad bersembunyi di balik aplikasi spoofing VPN dan nomor telepon bernama Text Me, ungkap para peneliti di sebuah posting blog yang diterbitkan pada hari Rabu.
Fungsi aplikasi ini dimaksudkan untuk memungkinkan pengguna memverifikasi akun media sosial melalui ponselnya — “teknik umum yang digunakan oleh pengguna media sosial di negara-negara yang aksesnya mungkin dibatasi atau menginginkan akun kedua yang terverifikasi,” Zimperium zLabs tulis peneliti Nipun Gupta di postingannya.
Namun baru-baru ini, para peneliti menemukan sampel langsung dari spyware RatMilad yang didistribusikan melalui NumRent, versi Text Me yang diganti namanya dan diperbarui secara grafis, melalui saluran Telegram, katanya. Pengembangnya juga telah membuat situs web produk untuk mengiklankan dan mendistribusikan aplikasi tersebut, untuk mencoba mengelabui korban agar percaya bahwa aplikasi tersebut sah.
“Kami yakin aktor jahat yang bertanggung jawab atas RatMilad memperoleh kode tersebut dari grup AppMilad dan mengintegrasikannya ke dalam aplikasi palsu untuk didistribusikan kepada korban yang tidak menaruh curiga,” tulis Gupta.
Penyerang menggunakan saluran Telegram untuk “mendorong sideloading aplikasi palsu melalui rekayasa sosial” dan mengaktifkan “izin signifikan” pada perangkat, tambah Gupta.
Setelah diinstal, dan setelah pengguna mengaktifkan aplikasi untuk mengakses beberapa layanan, RatMilad dimuat, memberikan penyerang kendali penuh atas perangkat, kata para peneliti. Mereka kemudian dapat mengakses kamera perangkat untuk mengambil gambar, merekam video dan audio, mendapatkan lokasi GPS yang tepat, dan melihat gambar dari perangkat, serta tindakan lainnya, tulis Gupta.
RatMilad Mendapat RAT-ty: Pencuri Data yang Kuat
Setelah diterapkan, RatMilad mengakses seperti Trojan akses jarak jauh (RAT) tingkat lanjut yang menerima dan menjalankan perintah untuk mengumpulkan dan mengekstraksi berbagai data dan melakukan berbagai tindakan jahat, kata para peneliti.
“Mirip dengan spyware seluler lain yang pernah kami lihat, data yang dicuri dari perangkat ini dapat digunakan untuk mengakses sistem perusahaan swasta, memeras korban, dan banyak lagi,” tulis Gupta. “Para pelaku kejahatan kemudian dapat membuat catatan tentang korban, mengunduh materi apa pun yang dicuri, dan mengumpulkan informasi intelijen untuk praktik jahat lainnya.”
Dari perspektif operasional, RatMilad melakukan berbagai permintaan ke server perintah-dan-kontrol berdasarkan jobID dan requestType tertentu, dan kemudian diam dan menunggu tanpa batas waktu untuk berbagai tugas yang dapat dilakukan untuk dieksekusi pada perangkat, kata para peneliti.
Ironisnya, para peneliti awalnya menyadari spyware tersebut ketika gagal menginfeksi perangkat perusahaan pelanggan. Mereka mengidentifikasi satu aplikasi yang mengirimkan muatan dan melanjutkan penyelidikan, di mana mereka menemukan saluran Telegram yang digunakan untuk mendistribusikan sampel RatMilad secara lebih luas. Postingan tersebut telah dilihat lebih dari 4,700 kali dengan lebih dari 200 share eksternal, kata mereka, dan sebagian besar korban berada di Timur Tengah.
Contoh kampanye RatMilad tersebut tidak lagi aktif pada saat postingan blog ini ditulis, tetapi mungkin ada saluran Telegram lainnya. Kabar baiknya, sejauh ini peneliti belum menemukan bukti adanya RatMilad di toko aplikasi resmi Google Play.
Dilema Spyware
Sesuai dengan namanya, spyware dirancang untuk bersembunyi di balik bayang-bayang dan berjalan secara diam-diam di perangkat untuk memantau korbannya tanpa menimbulkan perhatian.
Namun, spyware sendiri telah keluar dari penggunaan yang sebelumnya terselubung dan menjadi arus utama, terutama berkat berita blockbuster yang tersebar tahun lalu bahwa spyware Pegasus dikembangkan oleh NSO Group yang berbasis di Israel. disalahgunakan oleh pemerintah otoriter untuk memata-matai jurnalis, kelompok hak asasi manusia, politisi, dan pengacara.
Perangkat Android khususnya rentan terhadap kampanye spyware. Peneliti Sophos mengungkap varian baru spyware Android terkait dengan grup APT Timur Tengah pada November 2021. Analisis dari Google TAG dirilis pada bulan Mei menunjukkan setidaknya delapan negara di seluruh dunia membeli eksploitasi zero-day Android untuk tujuan pengawasan rahasia.
Baru-baru ini, para peneliti menemukan keluarga spyware modular kelas perusahaan di Android dijuluki Pertapa melakukan pengawasan terhadap warga Kazakhstan oleh pemerintahnya.
Dilema seputar spyware adalah bahwa spyware dapat digunakan secara sah oleh pemerintah dan pihak berwenang dalam operasi pengawasan untuk memantau aktivitas kriminal. Memang benar cperusahaan yang saat ini beroperasi di wilayah abu-abu dalam menjual spyware — termasuk RCS Labs, NSO Group, Grup Gamma pencipta FinFisher, perusahaan Israel Candiru, dan Positive Technologies Rusia – menyatakan bahwa mereka hanya menjualnya kepada badan intelijen dan penegak hukum yang sah.
Namun, sebagian besar menolak klaim tersebut, termasuk pemerintah AS yang baru-baru ini dijatuhi sanksi beberapa dari organisasi ini karena berkontribusi terhadap pelanggaran hak asasi manusia dan penargetan jurnalis, pembela hak asasi manusia, pembangkang, politisi oposisi, pemimpin bisnis, dan lain-lain.
Ketika pemerintah otoriter atau pelaku ancaman mendapatkan spyware, hal ini bisa menjadi bisnis yang sangat buruk — sedemikian rupa sehingga terjadi banyak perdebatan tentang apa yang harus dilakukan terhadap keberlangsungan keberadaan dan penjualan spyware. Beberapa orang percaya itu pemerintah harus mengambil keputusan siapa yang bisa membelinya – yang juga bisa menjadi masalah, tergantung pada motif pemerintah dalam menggunakannya.
Beberapa perusahaan mengambil tindakan sendiri untuk membantu melindungi sejumlah pengguna yang mungkin menjadi sasaran spyware. Apple – yang perangkat iPhone-nya termasuk di antara perangkat yang disusupi dalam kampanye Pegasus – baru-baru ini mengumumkan fitur baru di iOS dan macOS yang disebut Mode Penguncian yang secara otomatis mengunci fungsionalitas sistem apa pun yang dapat dibajak bahkan oleh spyware tentara bayaran paling canggih yang disponsori negara untuk menyusupi perangkat pengguna, kata perusahaan itu.
Terlepas dari semua upaya untuk memberantas spyware, penemuan RatMilad dan Hermit baru-baru ini tampaknya menunjukkan bahwa sejauh ini mereka tidak menghalangi pelaku ancaman untuk mengembangkan dan mengirimkan spyware secara diam-diam, di mana spyware terus mengintai, seringkali tidak terdeteksi.
