Grup ini sebelumnya menargetkan individu di wilayah Kashmir, India, namun sekarang mengalihkan fokusnya ke individu di Pakistan.
Aplikasi ini memiliki karakteristik malware dan mengandung muatan stager pada tahap awal serangan, yang bertujuan untuk mengumpulkan informasi.
Informasi ini kemudian digunakan untuk serangan tahap kedua menggunakan malware yang lebih berbahaya.
CYFIRMA telah mengidentifikasi tiga aplikasi Android yang dihosting oleh akun tersebut di Google Play Store, yaitu Device Basic Plus, nSure Chat, dan iKHfaa VPN. Dari ketiga aplikasi tersebut, nSure Chat dan iKHfaa VPN menunjukkan karakteristik berbahaya.
Baca Juga: Nilai Yuan China Melemah Sedikit Terhadap Dolar AS
Para pelaku ancaman dengan cerdik menyamarkan aplikasi ini dengan menggunakan pustaka Android yang tidak bersalah.
Mereka juga menggunakan enkripsi AES/CBC/PKCS5PADDING dan teknik obfuscation Proguard untuk menyembunyikan sifat berbahaya aplikasi tersebut.
Temuan CYFIRMA menunjukkan bahwa akun di Google Play Store yang menghosting aplikasi ini terhubung ke grup APT (Advanced Persistent Threat) DoNot.
Metode enkripsi dan penggunaan nama file yang mirip dengan sampel malware Android sebelumnya menautkan aplikasi ini ke grup tersebut.
Meskipun korban spesifik di Pakistan masih belum diketahui, karakteristik dan akses malware menunjukkan bahwa niat para pelaku ancaman adalah mengumpulkan informasi untuk serangan di masa mendatang menggunakan malware yang lebih canggih.
Taktik yang digunakan oleh DoNot sebelumnya melibatkan serangan spear phishing menggunakan dokumen Word berbahaya.
Namun, strategi terbaru mereka berfokus pada memikat korban melalui platform perpesanan seperti Telegram atau WhatsApp, yang pada akhirnya mengarahkan mereka untuk menginstal aplikasi berbahaya dari Google Play Store.
Pelaku ancaman ini memanfaatkan kepercayaan pengguna terhadap Play Store untuk meningkatkan peluang keberhasilan penyusupan. Meskipun Play Store memiliki proses pemeriksaan izin yang ketat, aplikasi jahat semacam itu jarang melewati pemeriksaan keamanan. (JPG)
Editor : Tesalonika Pontororing