Spyware BadBazaar Menyelinap di Telegram & Signal

Peneliti ESET telah mengidentifikasi dua operasi aktif yang menargetkan pengguna Android, di mana pelaku ancaman di balik alat tersebut dikaitkan dengan grup APT GREF yang berpihak pada Tiongkok.

Kemungkinan besar aktif sejak Juli 2020 dan sejak Juli 2022, operasi tersebut telah mendistribusikan kode spionase Android BadBazaar melalui Google Play Store, Samsung Galaxy Store, dan situs web khusus yang mewakili aplikasi jahat Signal Plus Messenger dan FlyGram.

Baca juga: Game Puzzle Android 2023

Patch Berbahaya

Pelaku ancaman menambal/patch aplikasi open-source Signal dan Telegram untuk Android dengan kode berbahaya yang kami identifikasi sebagai BadBazaar.

Aplikasi Trojanized Signal dan Telegram yang berisi spyware BadBazaar diunggah ke Google Play dan Samsung Galaxy Store oleh kelompok peretas APT Tiongkok yang dikenal sebagai GREF.

Malware ini sebelumnya digunakan untuk menargetkan etnis minoritas di Tiongkok, namun telemetri ESET menunjukkan bahwa kali ini, pelaku menargetkan pengguna di Ukraina, Polandia, Belanda, Spanyol, Portugal, Jerman, Hong Kong, dan Amerika Serikat.

Kemampuan BadBazaar di antaranya adalah:

  • Melacak lokasi perangkat secara tepat.

  • Mencuri log panggilan dan SMS.

  • Merekam panggilan telepon.

  • Mengambil gambar menggunakan kamera.

  • Mengeksfiltrasi daftar kontak.

  • Dan mencuri file atau database.

Aplikasi trojan yang berisi kode BadBazaar ditemukan oleh peneliti ESET, Lukas Stefanko.

Baca juga: Tanda Email Sadap

Trojanisasi Aplikasi IM

Dua aplikasi yang digunakan GREF dalam operasinya diberi nama ‘Signal Plus Messenger’ dan ‘FlyGram’, keduanya merupakan versi patch dari aplikasi IM open-source populer Signal dan Telegram.

Pelaku ancaman juga membuat situs web khusus di “signalplus[.]org” dan “flygram[.]org” untuk menambah legitimasi operasi malware, menawarkan tautan untuk memasang aplikasi dari Google Play atau langsung dari situs tersebut.

ESET melaporkan bahwa FlyGram menargetkan data sensitif seperti daftar kontak, log panggilan, Akun Google, dan data WiFi dan juga menawarkan fitur cadangan berbahaya yang mengirimkan data komunikasi Telegram ke server yang dikendalikan pelaku.

Analisis data yang tersedia menunjukkan bahwa setidaknya 13.953 pengguna FlyGram mengaktifkan fitur pencadangan ini, namun jumlah total pengguna aplikasi spyware tidak ditentukan.

Klon Signal mengumpulkan informasi serupa tetapi lebih fokus pada penggalian informasi spesifik Signal seperti komunikasi korban dan PIN yang melindungi akun mereka dari akses tidak sah.

Fitur Signal Berbahaya

Aplikasi Signal palsu ternyata juga menyertakan fitur yang membuat serangan ini lebih berbahaya, karena memungkinkan pelaku menautkan akun Signal korban ke perangkat yang dikendalikan pelaku sehingga pelaku dapat melihat pesan obrolan di masa mendatang.

Signal menyertakan fitur berbasis kode QR yang memungkinkan Anda menautkan beberapa perangkat ke satu akun sehingga pesan obrolan dapat dilihat dari semuanya.

Signal Plus Messenger yang jahat menyalahgunakan fitur ini dengan melewati proses penautan kode QR dan secara otomatis menghubungkan perangkat mereka sendiri ke akun Signal korban tanpa sepengetahuan korban. Hal ini memungkinkan pelaku memantau semua pesan di masa depan yang dikirim dari akun Signal.

“BadBazaar, malware yang bertanggung jawab atas kegiatan mata-mata ini, melewati pemindaian kode QR biasa dan proses klik pengguna dengan menerima URI yang diperlukan dari server C&C-nya, dan secara langsung memicu tindakan yang diperlukan ketika tombol Tautkan perangkat diklik,” jelas ESET.

“Hal ini memungkinkan malware untuk secara diam-diam menghubungkan ponsel pintar korban ke perangkat pelaku, memungkinkan mereka memata-matai komunikasi Signal tanpa sepengetahuan korban, seperti yang diilustrasikan pada Gambar 12.”

Baca juga: Ponsel Tidak Bisa untuk Menelpon

Metode Mata-mata

ESET mengatakan metode memata-matai Signal ini telah digunakan sebelumnya karena ini adalah satu-satunya cara untuk mendapatkan konten pesan Signal.

Untuk mengetahui apakah perangkat jahat ditautkan ke akun Signal Anda, luncurkan aplikasi Signal yang sebenarnya, buka Pengaturan, dan ketuk opsi “Perangkat Tertaut” untuk melihat dan mengelola semua perangkat yang terhubung.

FlyGram diunggah di Google Play pada Juli 2020, dan dihapus pada 6 Januari 2021, setelah mengumpulkan total 5.000 pemasangan melalui saluran tersebut.

Signal Plus Messenger diunggah di Google Play dan Samsung Galaxy Store pada Juli 2022, dan Google menghapusnya pada 23 Mei 2023.

Pada saat artikel ini ditulis, BleepingComputer mengonfirmasi bahwa kedua aplikasi tersebut masih tersedia di Samsung Galaxy Store.

Pengguna Android disarankan untuk menggunakan Signal dan Telegram versi asli dan menghindari mengunduh aplikasi fork yang menjanjikan peningkatan privasi atau fitur tambahan, meskipun tersedia di toko aplikasi resmi.

 

 

Baca artikel lainnya:

 

Sumber berita:

 

Prosperita IT News