Perusahaan keamanan siber, Kaspersky, kembali menggelar konferensi tahunannya yang bertajuk ‘Security Analyst Summit (SAS)’.
Namun mengingat saat ini dunia masih berada dalam kondisi pandemi COVID-19, konferensi sepenuhnya diadakan secara virtual dan berlangsung selama tiga hari, mulai dari tanggal 28 hingga 30 April 2020.
Konferensi ini diselenggarakan secara gratis sehingga dapat diikuti oleh seluruh profesional dan penggemar TI di seluruh dunia.
“Konferensi ini menjadi acara online di mana kami berbagi keahlian, pengamatan, dan temuan para pakar serta melatih generasi ahli siber masa depan melalui berbagi wawasan karena pembelajaran dan kerja sama tetap dapat berlanjut walaupun saat kita berada di dalam kenyamanan rumah” dia menambahkan,” ujar Stephan Neumeier, Managing Director Kaspersky untuk wilayah Asia Pasifik.
PhantomLance: Kampanye Spionase yang Menargetkan Asia Tenggara
Salah satu topik yang dibahas di hari pertama konferensi ini digelar (28/4) yakni mengenai ancaman siber bagi pengguna Android yang bernama PhantomLance.
Topik ini sendiri dibahas setelah konferensi dibuka dengan kata sambutan dari Eugene Kaspersky, CEO Kaspersky.
PhantomLance merupakan kampanye yang telah aktif setidaknya sejak tahun 2015 dan masih berlangsung hingga kini.
Menampilkan beberapa versi spyware yang kompleks, ancaman PhantomLance bekerja dengan perangkat lunak (aplikasi) yang dibuat untuk mengumpulkan data atau informasi korban, memiliki taktik distribusi cerdas, termasuk distribusi melalui puluhan aplikasi di pasar (markeplace) resmi Google Play.
Selain mengumpulkan data mulai dari geolokasi, log panggilan, akses kontak dan SMS, aplikasi juga dapat mengumpulkan daftar aplikasi yang diinstal, serta informasi perangkat, seperti model dan versi OS.
Selain itu, aktor ancaman dapat mengunduh dan mengeksekusi berbagai muatan berbahaya, dengan demikian sekaligus dapat menyesuaikan dirinya dengan perangkat tertentu, seperti versi Android dan aplikasi yang diinstal.
Dengan cara ini, sang aktor dapat menghindari kelebihan aplikasi dengan fitur yang tidak perlu dan disaat yang sama juga melakukan pengumpulan informasi.
Penelitian lebih lanjut menunjukkan bahwa PhantomLance banyak didistribusikan di berbagai platform dan pasar, termasuk, namun tidak terbatas pada, Google Play dan APKpure.
Untuk membuat aplikasi tampak sah, dalam hampir setiap kasus penyebaran malware para pelaku ancaman mencoba membangun profil pengembang palsu dengan membuat akun Github terkait.
Untuk menghindari mekanisme penyaringan yang dilakukan oleh pasar, versi pertama aplikasi yang diunggah oleh aktor ancaman ke pasar tidak mengandung muatan berbahaya apa pun.
Namun, dengan pembaruan selanjutnya, aplikasi menerima muatan berbahaya dan kode untuk menjalankannya.
Alexey Firsh, Peneliti Keamanan di Kaspersky, menjelaskan bahwa kampanye ini adalah contoh luar biasa tentang bagaimana aktor ancaman melangkah lebih jauh ke perairan yang lebih dalam dan menjadi lebih sulit ditemukan.
“PhantomLance telah berlangsung selama lebih dari lima tahun dan aktor ancaman berhasil melewati filter app store beberapa kali, menggunakan teknik canggih untuk mencapai tujuan mereka. Kita juga dapat melihat bahwa penggunaan platform seluler sebagai titik infeksi utama menjadi lebih populer, seiring dengan banyaknya aktor ancaman yang semakin maju di bidang ini,” kata Firsh.
“Perkembangan ini menggarisbawahi pentingnya peningkatan intelijen ancaman dan layanan pendukung secara berkelanjutan, yang dapat membantu dalam pelacakan aktor ancaman dan menemukan tumpang tindih antara berbagai kampanye yang berlangsung,” tambah Firsh.
Menurut Kaspersky Security Network, sejak tahun 2016, sekitar 300 upaya infeksi diamati pada perangkat Android di negara-negara seperti India, Vietnam, Bangladesh dan Indonesia. Sementara statistik deteksi termasuk infeksi kolateral,
Vietnam menonjol sebagai salah satu negara teratas dengan jumlah upaya serangan; beberapa aplikasi berbahaya yang digunakan dalam kampanye juga dibuat secara eksklusif dalam bahasa Vietnam.
Menggunakan mesin atribusi malware Kaspersky, para peneliti Kaspersky menyimpulkan bahwa muatan PhantomLance setidaknya 20% mirip dengan salah satu kampanye lama Android yang terkait dengan OceanLotus, aktor ancaman yang telah beroperasi setidaknya sejak tahun 2013 dan menargetkan sebagian besar lokasi di Asia Tenggara.
Selain itu, beberapa tumpang tindih penting ditemukan dengan kegiatan OceanLotus yang dilaporkan sebelumnya pada Windows dan MacOS.
Dengan demikian, para peneliti Kaspersky percaya bahwa kampanye PhantomLance dapat dikaitkan dengan OceanLotus.
"Kaspersky telah melaporkan seluruh sampel yang ditemukan kepada para pemiliki toko aplikasi yang sah. Google Play pun telah mengonfirmasi bahwa mereka telah menghapus aplikasi-aplikasi tersebut," pungkas Firsh.