Malware Curi Chat WhatsApp, Pengguna Android Wajib Waspada. Kampanye malware Android baru yang menyebarkan versi terbaru GravityRAT telah berlangsung sejak Agustus 2022, menginfeksi perangkat seluler dengan aplikasi obrolan yang di-trojan bernama ‘BingeChat,’ yang mencoba mencuri data dari perangkat korban.
Menurut peneliti ESET Lukas Stefanko, yang menganalisis sampel setelah menerima petunjuk dari MalwareHunterTeam, salah satu tambahan baru yang penting yang ditemukan di versi terbaru GravityRAT adalah mencuri file cadangan WhatsApp.
Malware Curi Chat WhatsApp, Pengguna Android Wajib Waspada
Cadangan WhatsApp dibuat untuk membantu pengguna memindahkan riwayat pesan, file media, dan data mereka ke perangkat baru, sehingga dapat berisi data sensitif seperti teks, video, foto, dokumen, dan banyak lagi, semuanya dalam bentuk yang tidak terenkripsi.
Backup data di WhatsApp membantu pengguna memindahkan riwayat pesan, file media, dan data lainnya ke perangkat baru. Jadi backup bisa berisi informasi sensitif seperti teks, video, foto, dokumen, dan lain-lain yang tidak terenkripsi.
Spyware ini beredar menggunakan nama ‘BingeChat’, yang mengklaim sebagai aplikasi chat dengan enkripsi end-to-end serta memiliki tampilan yang sederhana dan fitur yang melimpah.
Pengguna Android diminta berhati-hati terhadap malware GravityRAT. Pasalnya versi baru dari malware ini bisa mencuri backup data WhatsApp dan menghapus file di perangkat.
GravityRAT sebenarnya sudah aktif setidaknya sejak tahun 2015, tapi baru mulai mengincar pengguna Android pada tahun 2020. Malware ini dioperasikan oleh ‘Space Cobra’ yang menggunakannya untuk mengincar target yang spesifik.
Menurut laporan peneliti keamanan siber dari ESET, aplikasi BingeChat didistribusikan lewat bingechat[.]net dan beberapa domain atau saluran distribusi lainnya. Tapi download aplikasi ini berbasis undangan dan mengharuskan pengguna memberikan kredensial yang valid atau mendaftarkan akun baru.
Malware Curi Chat WhatsApp, Pengguna Android Wajib Waspada
Menggunakan APK Android berbahaya untuk mengincar target merupakan taktik yang pernah dipakai operator malware GravityRAT sebelumnya. Pada tahun 2021 mereka menggunakan aplikasi chat bernama ‘SoSafe’, dan sebelumnya menggunakan aplikasi bernama ‘Travel Mate Pro’.
Setelah diinstal, BingeChat akan meminta sejumlah izin akses termasuk untuk kontak, lokasi, telepon, SMS, storage, log panggilan, kamera, dan mikrofon. Cukup standar untuk aplikasi chat jadi kemungkinan pengguna tidak langsung curiga.
Sebelum pengguna mendaftarkan akun baru di BingeChat, aplikasi ini akan mengirimkan log panggilan, daftar kontak, SMS, lokasi perangkat, dan informasi dasar perangkat ke server command and control (C2) yang dikendalikan oleh operator malware.
Malware Curi Chat WhatsApp, Pengguna Android Wajib Waspada
Selain itu, malware ini juga akan mencuri file jpg, jpeg, log, png, PNG, JPG, JPEG, txt, pdf, xml, doc, xls, xlsx, ppt, pptx, docx, opus, crypt14, crypt12, crypt13, crypt18, dan crypt32. File dengan ekstensi crypt menandakan backup data WhatsApp yang disebut sebelumnya, seperti dikutip dari Bleeping Computer, Sabtu (16/6/2023).
Selain mencuri data WhatsApp, malware GravityRAT juga bisa menerima tiga perintah dari C2, yaitu perintah untuk menghapus semua data (untuk ekstensi tertentu), menghapus semua kontak, dan menghapus semua log panggilan.
Saat ini kampanye malware GravityRAT lebih berfokus di India. Tapi semua pengguna Android harus berhati-hati dengan tidak mengunduh APK di luar Google Play Store dan meneliti izin akses yang diminta aplikasi.
Malware Curi Chat WhatsApp, Pengguna Android Wajib Waspada
Sumber : https://www.bleepingcomputer.com/