Bahaya Spyware dalam Layanan VPN
Setidaknya
delapan varian spyware yang menyamar sebagai layanan VPN ditemukan oleh
peneliti ESET. Spyware ini, dikenal sebagai Bahamut, didistribusikan melalui
situs web SecureVPN palsu.
Setidaknya
sejak 2017, pelaku telah dikaitkan dengan operasi spionase dunia maya, kali ini
memikat korban dengan perangkat lunak VPN palsu untuk Android yang merupakan
versi trojan dari perangkat lunak resmi SoftVPN dan OpenVPN.
Menurut
para peneliti, operasi itu "sangat ditargetkan", dengan tujuan
mencuri data kontak dan panggilan, lokasi perangkat, dan pesan dari berbagai
aplikasi.
Peniruan
identitas layanan VPN
Bahamut,
otak operasi tersebut, dianggap sebagai kelompok tentara bayaran yang
menyediakan layanan peretasan untuk disewa.
Bahamut
menggunakan nama SecureVPN (layanan VPN yang sah) dan membuat situs web palsu
[thesecurevpn] untuk mendistribusikan aplikasi jahat mereka untuk menyembunyikan
operasi mereka dan mendapatkan kredibilitas.
Perlu dicatat bahwa tidak ada versi trojan VPN yang tersedia di Google Play, yang menunjukkan sifat operasi yang ditargetkan.
Menurut
analis malware ESET Lukas Stefanko, Bahamut mengemas ulang aplikasi SoftVPN dan
OpenVPN untuk Android untuk memasukkan kode berbahaya dengan kemampuan
memata-matai.
Pelaku
memastikan bahwa aplikasi tersebut terus menyediakan fungsionalitas VPN kepada
korban sambil mengekstraksi informasi sensitif dari perangkat seluler dengan
cara ini.
Fungsi
Bahamut
Ketika
spyware Bahamut diaktifkan, operatornya dapat mengontrolnya dari jarak jauh dan
mengekstrak data perangkat sensitif seperti:
- Kontak.
- Pesan SMS.
- Log panggilan.
- Daftar aplikasi yang diinstal.
- Lokasi perangkat.
- Akun perangkat.
- Info perangkat (jenis koneksi internet, IMEI, IP, nomor seri SIM).
- Rekaman panggilan telepon.
- Daftar file di penyimpanan eksternal.
Dengan
menyalahgunakan layanan aksesibilitas, spyware dalam layanan VPN ini dapat
mencuri catatan aplikasi SafeNotes dan secara aktif memata-matai pesan obrolan
dan informasi panggilan dari aplikasi perpesanan populer seperti:
- imo-Panggilan & Obrolan Internasional.
- Messenger Facebook.
- Viber.
- Signal Private Messenger.
- WhatsApp.
- Telegram.
- WeChat.
- Aplikasi Conion.
Semua
data yang dieksfiltrasi disimpan dalam database lokal sebelum dikirim ke server
C&C. Fungsionalitas spyware Bahamut mencakup kemampuan untuk memperbarui
aplikasi dengan menerima tautan ke versi baru dari server C&C.
ESET
percaya bahwa target dipilih dengan hati-hati karena, setelah diluncurkan,
spyware Bahamut memerlukan kunci aktivasi sebelum fungsi VPN dan spyware dapat
diaktifkan. Pengguna yang ditargetkan dapat dikirimi kunci aktivasi dan tautan
situs web.
Bahamut
Grup APT
Sebagai
vektor serangan awal, Grup APT Bahamut biasanya menargetkan entitas dan
individu di Timur Tengah dan Asia Selatan dengan pesan spear phishing dan
aplikasi palsu.
Bahamut
berspesialisasi dalam cyberespionage, dengan tujuan mencuri informasi sensitif
dari para korbannya.
Bahamut
juga dikenal sebagai grup tentara bayaran yang menyediakan layanan peretasan ke
berbagai klien.
Sulit
untuk menghubungkan Bahamut dengan penjahat dunia maya lainnya karena kelompok
tersebut sangat bergantung pada alat yang tersedia untuk umum, terus-menerus
mengubah taktik, dan tidak menargetkan area tertentu.
Dalam laporan komprehensif tentang Bahamut pada tahun 2020, peneliti BlackBerry mencatat bahwa grup tersebut tampaknya tidak hanya memiliki dana dan sumber daya yang baik, tetapi juga berpengalaman dalam penelitian keamanan.
Windshift dan Urpage adalah dua kelompok aktor ancaman yang terkait dengan Bahamut.