Skip to content Skip to sidebar Skip to footer

Bahaya Spyware dalam Layanan VPN

 


Setidaknya delapan varian spyware yang menyamar sebagai layanan VPN ditemukan oleh peneliti ESET. Spyware ini, dikenal sebagai Bahamut, didistribusikan melalui situs web SecureVPN palsu.

Setidaknya sejak 2017, pelaku telah dikaitkan dengan operasi spionase dunia maya, kali ini memikat korban dengan perangkat lunak VPN palsu untuk Android yang merupakan versi trojan dari perangkat lunak resmi SoftVPN dan OpenVPN.

Menurut para peneliti, operasi itu "sangat ditargetkan", dengan tujuan mencuri data kontak dan panggilan, lokasi perangkat, dan pesan dari berbagai aplikasi.

Peniruan identitas layanan VPN

Bahamut, otak operasi tersebut, dianggap sebagai kelompok tentara bayaran yang menyediakan layanan peretasan untuk disewa.

Bahamut menggunakan nama SecureVPN (layanan VPN yang sah) dan membuat situs web palsu [thesecurevpn] untuk mendistribusikan aplikasi jahat mereka untuk menyembunyikan operasi mereka dan mendapatkan kredibilitas.

Perlu dicatat bahwa tidak ada versi trojan VPN yang tersedia di Google Play, yang menunjukkan sifat operasi yang ditargetkan.

Menurut analis malware ESET Lukas Stefanko, Bahamut mengemas ulang aplikasi SoftVPN dan OpenVPN untuk Android untuk memasukkan kode berbahaya dengan kemampuan memata-matai.

Pelaku memastikan bahwa aplikasi tersebut terus menyediakan fungsionalitas VPN kepada korban sambil mengekstraksi informasi sensitif dari perangkat seluler dengan cara ini.

Fungsi Bahamut

Ketika spyware Bahamut diaktifkan, operatornya dapat mengontrolnya dari jarak jauh dan mengekstrak data perangkat sensitif seperti:

  • Kontak.
  • Pesan SMS.
  • Log panggilan.
  • Daftar aplikasi yang diinstal.
  • Lokasi perangkat.
  • Akun perangkat.
  • Info perangkat (jenis koneksi internet, IMEI, IP, nomor seri SIM).
  • Rekaman panggilan telepon.
  • Daftar file di penyimpanan eksternal.

Dengan menyalahgunakan layanan aksesibilitas, spyware dalam layanan VPN ini dapat mencuri catatan aplikasi SafeNotes dan secara aktif memata-matai pesan obrolan dan informasi panggilan dari aplikasi perpesanan populer seperti:

  • imo-Panggilan & Obrolan Internasional.
  • Messenger Facebook.
  • Viber.
  • Signal Private Messenger.
  • WhatsApp.
  • Telegram.
  • WeChat.
  • Aplikasi Conion.

Semua data yang dieksfiltrasi disimpan dalam database lokal sebelum dikirim ke server C&C. Fungsionalitas spyware Bahamut mencakup kemampuan untuk memperbarui aplikasi dengan menerima tautan ke versi baru dari server C&C.

ESET percaya bahwa target dipilih dengan hati-hati karena, setelah diluncurkan, spyware Bahamut memerlukan kunci aktivasi sebelum fungsi VPN dan spyware dapat diaktifkan. Pengguna yang ditargetkan dapat dikirimi kunci aktivasi dan tautan situs web.

Bahamut Grup APT

Sebagai vektor serangan awal, Grup APT Bahamut biasanya menargetkan entitas dan individu di Timur Tengah dan Asia Selatan dengan pesan spear phishing dan aplikasi palsu.

Bahamut berspesialisasi dalam cyberespionage, dengan tujuan mencuri informasi sensitif dari para korbannya.

Bahamut juga dikenal sebagai grup tentara bayaran yang menyediakan layanan peretasan ke berbagai klien.

Sulit untuk menghubungkan Bahamut dengan penjahat dunia maya lainnya karena kelompok tersebut sangat bergantung pada alat yang tersedia untuk umum, terus-menerus mengubah taktik, dan tidak menargetkan area tertentu.

Dalam laporan komprehensif tentang Bahamut pada tahun 2020, peneliti BlackBerry mencatat bahwa grup tersebut tampaknya tidak hanya memiliki dana dan sumber daya yang baik, tetapi juga berpengalaman dalam penelitian keamanan.

Windshift dan Urpage adalah dua kelompok aktor ancaman yang terkait dengan Bahamut.