Kampanye PhantomLance sebarkan spyware di perangkat Android

Sebuah kampanye berbahaya tampaknya  sedang dilakukan secara online oleh para peretas. Kampanye bernama PhantomLance ini menampilkan beberapa versi spyware yang kompleks. Sesuai dengan jenisnya, kampanye ini bertujuan untuk mengumpulkan data para korban dengan teknik distribusi yang cerdas, termasuk melalui toko aplikasi resmi seperti Google Play Store. 

Dalam siaran persnya, Kaspersky menyebut bahwa kampanye ini sebenarnya sudah dimulai sejak tahun 2015 dan masih terus berlangsung sampai saat ini. Tahun lalu, sebuah peneliti keamanan melaporkan adanya sampel spyware baru yang ditemukan di Play Store. Tidak hanya itu, peneliti Kaspersky juga menemukan sampel lain yang mirip dengan malware tersebut di Play Store. 

Umumnya, pembuat malware yang berhasil mengunggah aplikasi berbahaya di toko aplikasi akan melakukan promosi besar-besaran. Hal ini dilakukan untuk memastikan aplikasi berbahaya itu banyak menarik korbannya. Namun berbeda dengan aplikasi berbahaya yang baru ditemukan ini. Tampaknya pelaku tidak tertarik dengan penyebaran massal, yang mengindikasikan serangan yang sudah ditargetkan. 

Tujuan utama spyware ini adalah untuk mengumpulkan informasi, mulai dari data lokasi, riwayat panggilan, kontak, SMS bahkan daftar aplikasi yang digunakan korban. Tidak hanya itu, informasi perangkat seperti model dan versi sistem operasi juga dapat diketahui oleh pelaku. Bahkan pelaku bisa mengunduh dan mengeksekusi berbagai muatan bahaya ke ponsel korbannya. 

Yang menarik adalah strategi yang digunakan oleh para peretas tersebut. Untuk menghindari deteksi yang dilakukan oleh toko aplikasi, versi awal aplikasi yang diberikan biasanya tidak mengandung muatan berbahaya. Namun dengan adanya update baru, muatan berbahaya dan kode untuk menjalankannya mulai disisipkan dalam update tersebut. 

Menurut Kaspersky Security Network, sejak tahun 2016, sekitar 300 upaya infeksi diamati pada perangkat Android di negara-negara seperti India, Vietnam, Bangladesh dan Indonesia. Sementara statistik deteksi termasuk infeksi kolateral, Vietnam menonjol sebagai salah satu negara teratas dengan jumlah upaya serangan; beberapa aplikasi berbahaya yang digunakan dalam kampanye juga dibuat secara eksklusif dalam bahasa Vietnam.

“Kampanye ini adalah contoh luar biasa tentang bagaimana aktor ancaman melangkah lebih jauh ke perairan yang lebih dalam dan menjadi lebih sulit ditemukan. PhantomLance telah berlangsung selama lebih dari lima tahun dan aktor ancaman berhasil melewati filter app store beberapa kali, menggunakan teknik canggih untuk mencapai tujuan mereka. Kita juga dapat melihat bahwa penggunaan platform seluler sebagai titik infeksi utama menjadi lebih populer, seiring dengan banyaknya aktor ancaman yang semakin maju di bidang ini. Perkembangan ini menggarisbawahi pentingnya peningkatan intelijen ancaman dan layanan pendukung secara berkelanjutan, yang dapat membantu dalam pelacakan aktor ancaman dan menemukan tumpang tindih antara berbagai kampanye yang berlangsung"  kata Alexey Firsh, peneliti keamanan di Kaspersky GReAT Team.

Kaspersky sendiri sudah melaporkan temuan ini ke Google Play yang kemudian menghapus aplikasi berbahaya tersebut dari toko aplikasinya.