Versi palsu dari aplikasi pesan dan privasi terenkripsi yang populer telah terlihat beredar di alam liar. Versi palsu Whatsapp, Telegram, Signal, dan PsiphonVPN, diyakini telah dibuat oleh peretas yang diduga bekerja untuk pemerintah Libanon. Aplikasi jahat menipu pengguna agar percaya bahwa pesan mereka sedang dienkripsi. Namun, pada kenyataannya, para peretas Lebanon mengeksploitasi dengan sengaja menciptakan backdoors dan malware untuk mengintip korespondensi pengguna.

Menurut sebuah laporan yang diterbitkan oleh perusahaan keamanan seluler Lookout dan Electronic Frontier Foundation, para peretas telah dikaitkan dengan agen intelijen pusat Libanon. Laporan tersebut mengungkapkan bahwa para korban di sebanyak 20 negara kemungkinan telah mengunduh versi palsu dari aplikasi keamanan populer.

Trojan Berbahaya

Aplikasi berbahaya dapat dibuat tampak hampir sama dengan rekan-rekannya yang sah. Ini memberi pengguna tidak ada cara nyata untuk mengetahui bahwa sesuatu yang tidak diinginkan terjadi pada perangkat mereka. Pada kesempatan ini, para korban mengunduh aplikasi jahat dari toko aplikasi online tidak resmi. Setelah diinstal, alih-alih memberikan pesan terenkripsi yang aman (dilindungi dengan protokol Sinyal Whisper Terbuka) - aplikasi berperilaku seperti Trojan.

Trojan adalah jenis malware yang sangat kuat yang memungkinkan peretas untuk mengendalikan fitur-fitur perangkat. Ini termasuk membaca korespondensi dan pesan SMS, mengakses email, menyalakan mikrofon dan kamera, melihat melalui kontak, menyalakan GPS, dan mengakses foto dan data lain yang terkandung di perangkat yang diretas..


Koneksi Lebanon

Laporan yang diterbitkan oleh Lookout disebut "Dark Caracal: Cyber-Spionage pada Skala Global". Menurut para peneliti cybersecurity di Lookout, mereka telah menemukan bukti yang menunjukkan keterlibatan aktor negara. Menurut Lookout, tautan itu dibuat karena ditemukannya alat uji di dalam markas Direktorat Jenderal Keamanan Umum (GDGS) Lebanon di Beirut:

“Perangkat untuk menguji dan mengoperasikan kampanye dilacak kembali ke sebuah bangunan milik Direktorat Jenderal Keamanan Umum (GDGS) Lebanon, salah satu badan intelijen Libanon. Berdasarkan bukti yang tersedia, ada kemungkinan bahwa GDGS dikaitkan dengan atau langsung mendukung para aktor di balik Dark Caracal. "

Dokumen-dokumen yang diterbitkan mengungkapkan bahwa peretas yang disponsori negara telah mencuri data yang dapat diidentifikasi secara pribadi dan kekayaan intelektual dari para korban termasuk "personil militer, perusahaan, profesional medis, aktivis, jurnalis, pengacara, dan lembaga pendidikan."

Operasi Manul

Menurut EFF, Dark Caracal mungkin terkait dengan kampanye peretasan yang sebelumnya tidak ditemukan yang disebut Operasi Manul. Kampanye itu ditemukan tahun lalu dan diketahui menargetkan para pengacara, jurnalis, aktivis, dan pembangkang dari Kazakhstan yang mengkritik tindakan rezim Presiden Nursultan Nazarbayev.

Tidak seperti Operation Manul (PDF), bagaimanapun, Dark Caracal tampaknya telah matang menjadi upaya peretasan internasional yang ditujukan untuk target global. Mike Murray, Wakil Presiden Intelijen Keamanan di Lookout, berkomentar:

“Dark Caracal adalah bagian dari tren yang telah kita lihat meningkat selama setahun terakhir di mana aktor APT tradisional bergerak ke arah menggunakan ponsel sebagai platform target utama.

"Ancaman Android yang kami identifikasi, seperti yang digunakan oleh Dark Caracal, adalah salah satu APT seluler aktif global pertama yang kami bicarakan di depan umum."

Bahkan, menurut laporan Lookout, Dark Caracal telah aktif sejak tahun 2012. Ini berarti para peretas yang disponsori Lebanon telah mengalami peningkatan dalam pengalaman dan keahlian selama beberapa waktu. Laporan itu juga menjelaskan bahwa Dark Caracal masih sangat aktif dan tidak mungkin berhenti dalam waktu dekat.

Dengan demikian, insiden peretasan ini berfungsi sebagai pengingat bahwa bukan hanya aktor negara utama seperti AS, Inggris, Rusia, dan China, yang memiliki kemampuan perang cyber global yang dapat mereka gunakan..

Serang Vektor

Pekerjaan yang dilakukan oleh para peneliti di Lookout mengungkapkan bahwa para korban pada awalnya ditargetkan dengan rekayasa sosial dan serangan phishing. Phear tombak yang berhasil digunakan untuk mengirimkan muatan malware yang disebut Pallas dan modifikasi FinFisher yang sebelumnya tidak terlihat. Infrastruktur phishing Dark Caracal termasuk portal palsu untuk situs web populer seperti Facebook dan Twitter.

Teknik phishing digunakan untuk mengarahkan korban ke server "lubang berair" tempat versi keamanan dan aplikasi privasi yang terinfeksi disebarluaskan ke perangkat mereka. Profil Facebook palsu juga ditemukan membantu menyebarkan tautan jahat ke versi Whatsapp yang terinfeksi dan rasul lainnya.

Setelah terinfeksi dengan aplikasi yang di-trojanized yang mengandung Pallas, para peretas dapat mengirimkan muatan sekunder dari Command and Control (C&C) server. Di antara aplikasi yang terinfeksi yang ditemukan oleh para peneliti adalah versi palsu PsiphonVPN dan versi Orbot: TOR yang terinfeksi.

Para peneliti juga menemukan Pallas "bersembunyi di beberapa aplikasi yang mengaku sebagai Adobe Flash Player dan Google Play Push untuk Android".

Tidak canggih namun efektif

Pada akhirnya, teknik yang digunakan oleh Dark Caracal sangat umum dan tidak dapat dianggap sangat canggih. Meskipun demikian, kampanye peretasan ini berfungsi sebagai pengingat bahwa pada tahun 2018 cyberwarfare cenderung sangat produktif dan merupakan ancaman global. Alat untuk melakukan peretasan jenis ini telah melakukan penyerbukan silang dari satu aktor negara ke aktor berikutnya, dan kemampuan menakutkan yang mereka berikan kepada peretas menghasilkan penetrasi hebat yang bahkan otentikasi dua faktor tidak dapat melindungi pengguna terhadap.

Seperti biasa, kami menyarankan Anda sangat berhati-hati saat membuka pesan. Phising rekayasa sosial dirancang untuk memikat Anda - jadi pikirkan dua kali sebelum mengklik tautan. Selain itu, jika Anda memerlukan aplikasi, selalu pastikan untuk pergi ke toko aplikasi resmi karena ini akan sangat mengurangi peluang Anda untuk mengakhiri dengan aplikasi yang terinfeksi. Akhirnya, pengguna Virtual Private Network (VPN) juga diingatkan untuk sangat berhati-hati dari mana mereka mendapatkan perangkat lunak VPN mereka, selalu memastikan untuk mendapatkannya dari sumber yang sah.

Pendapat adalah milik penulis sendiri.

Kredit gambar judul: Ink Drop / Shutterstock.com

Kredit gambar: anastasiaromb / Shutterstock.com, wk1003mike / Shutterstock.com, smolaw / Shutterstock.com

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me