CYFIRMA, sebuah perusahaan keamanan dunia maya, telah menemukan aplikasi Android mencurigakan yang didistribusikan di Google Play Store.
Aplikasi yang diketahui berbahaya memiliki nama akun \”Kantor Keamanan”.
Setelah melakukan analisis teknis, mereka menemukan bahwa aplikasi tersebut memiliki fitur malware dan terkait dengan grup Advanced Persistent Threat yang dikenal sebagai “DoNot”, yang menargetkan orang-orang di wilayah Kashmir di India.
Khawatir akan ancaman lain, teroris mengalihkan perhatiannya ke orang-orang Pakistan. Meski penyebab serangan siber di kawasan Asia Selatan belum diketahui, kemungkinan ancaman siber ini akan menyebar ke negara lain.
Analisis mengungkapkan bahwa penyerang mencoba mengumpulkan informasi dari muatan alat selama tahap awal serangan. Informasi ini akan digunakan untuk serangan kedua, menggunakan malware yang lebih berbahaya.
CYFIRMA juga mengidentifikasi tiga aplikasi Android yang didukung oleh akun Google Play Store yaitu Device Basic Plus, nSure Chat, dan iKHfaa VPN. Di antaranya, nSure Chat dan iKHfaa VPN memiliki fitur berbahaya.
Pelaku ancaman menggunakan perangkat lunak berbahaya untuk memodifikasi aplikasi ini, menggunakan pustaka Android yang tidak bersalah untuk menghapus kontak dari area yang terpengaruh.
iKHfaa VPN menyalin kodenya dari penyedia layanan VPN yang sah dan menambahkan pustaka tambahan untuk menjalankan fungsi jahat.
Analisis kode lebih lanjut oleh CYFIRMA mengungkapkan bahwa penyerang menggunakan enkripsi AES/CBC/PKCS5PADDING dan teknik obfuscation Proguard untuk menyembunyikan sifat berbahaya dari aplikasi tersebut.
Hasil ini mengarah pada kesimpulan bahwa akun Google Play Store dengan aplikasi ini ditautkan ke grup APT (Advanced Persistent Threat) DoNot. Metode tersembunyi dan penggunaan nama file yang mirip dengan sampel malware Android sebelumnya telah menautkan aplikasi ini ke DoNot.
Grup malware Android yang menargetkan Pakistan ini sebagian besar masih belum diketahui. Namun, berdasarkan identitas dan akses malware tersebut, dapat disimpulkan bahwa tujuan pelaku ancaman adalah mengumpulkan informasi untuk serangan di masa mendatang menggunakan malware canggih.
Metode sebelumnya yang digunakan oleh DoNot termasuk serangan tombak menggunakan dokumen berbahaya, tetapi perubahan terbaru menunjukkan strategi yang didasarkan pada memikat korban melalui platform perpesanan seperti Telegram atau WhatsApp , yang pada akhirnya menipu mereka untuk menginstal aplikasi berbahaya dari Google Play Store.
Dengan memanfaatkan kepercayaan pengguna di Play Store, pelaku jahat ini dapat meningkatkan peluang berhasil masuk. Pemeriksaan izin yang ketat selama proses pengunduhan aplikasi di Play Store membuat aplikasi nakal tersebut jarang lolos pemeriksaan keamanan.