METROPOLITAN.ID - CYFIRMA, sebuah perusahaan keamanan siber, baru-baru ini menemukan aplikasi berbahaya alias aplikasi Android yang mencurigakan beredar di Google Play Store.
Mengutip jawapos.com, aplikasi berbahaya yang ditemukan itu memiliki nama akun "SecurITY Industry".
Setelah melakukan analisis teknis, mereka menemukan bahwa aplikasi ini mengandung karakteristik malware dan dikaitkan dengan Grup Ancaman Persisten Tingkat Lanjut yang dikenal sebagai "DoNot", yang sebelumnya menargetkan individu di wilayah Kashmir, India.
Baca Juga: Terjadi Lagi, Giliran 337 Juta Data Penduduk Indonesia Diduga Bocor
Ngerinya lagi, aktor ancaman kini telah mengalihkan fokusnya ke individu di Pakistan.
Walaupun, motif di balik serangan siber di kawasan Asia Selatan ini masih belum diketahui, bisa jadi ancaman siber ini meluas ke negara lainnya.
Analisis mengungkapkan bahwa penyerang bertujuan untuk mengumpulkan informasi melalui muatan stager pada tahap awal serangan. Informasi ini kemudian akan digunakan untuk serangan tahap kedua, menggunakan malware yang lebih berbahaya.
Baca Juga: Nah Lho! Gegara Hal Ini, Uji Coba LRT Jabodebek Mendadak Dihentikan Sementara
CYFIRMA juga mengidentifikasi tiga aplikasi Android yang dihosting oleh akun tersebut di Google Play Store yakni Device Basic Plus, nSure Chat, dan iKHfaa VPN. Dari jumlah tersebut, nSure Chat dan iKHfaa VPN menunjukkan karakteristik berbahaya.
Pelaku ancaman dengan cerdik menyamarkan aplikasi ini, menggunakan pustaka Android yang tidak bersalah untuk mengekstrak kontak dan lokasi korban yang disusupi. iKHfaa VPN bahkan menyalin kodenya dari penyedia layanan VPN yang sah dan menambahkan perpustakaan tambahan untuk melakukan aktivitas jahat.
Analisis kode lebih lanjut yang dilakukan oleh CYFIRMA mengungkapkan bahwa pelaku ancaman menggunakan enkripsi AES/CBC/PKCS5PADDING dan teknik obfuscation Proguard untuk menyembunyikan sifat berbahaya dari aplikasi tersebut.
Baca Juga: Satpol PP Ciduk Pemulung 'Sultan', Kepergok Bawa Duit Rp18 Juta Hasil Ngemis
Temuan ini mengarah pada kesimpulan bahwa akun toko Google Play yang menghosting aplikasi ini terhubung ke grup APT (Advanced Persistent Threat) DoNot . Metode enkripsi dan penggunaan nama file yang mirip dengan sampel malware Android sebelumnya menautkan aplikasi ini ke DoNot.
Korban spesifik yang ditargetkan oleh malware Android ini di Pakistan sebagian besar masih belum diketahui.