Grup hacker yang meluncurkan aksinya, yang dijuluki PhantomLance, telah menargetkan pengguna perangkat Android dengan meyisipkan muatan spyware ke dalam aplikasi yang dikirim melalui berbagai platform termasuk Google Play Store dan toko aplikasi Android alternatif seperti APKpure dan APKCombo.
Menurut laporan yang diterbitkan sebelumnya oleh para peneliti Kaspersky, PhantomLance diduga berkaitan dengan distribusi sebelumnya yang menargetkan Windows dan macOS yang dikaitkan dengan OceanLotus, kelompok advanced persistent threat yang juga dilacak sebagai APT32 dan diyakini berbasis di Vietnam.
“Distribusi ini telah aktif sejak setidaknya sejak 2015 dan masih berlangsung, menghadirkan beberapa versi spyware yang rumit, perangkat lunak yang dibuat untuk mengumpulkan data korban, serta taktik distribusi cerdas, termasuk distribusi melalui puluhan aplikasi di Google Play Store,” kata peniliti di Kaspersky.
Distribusi spyware berfokus pada pengumpulan dan pencurian informasi
Peneliti Kaspersky menemukan distribusi ini setelah Doctor Web menerbitkan laporan tentang trojan backdoor baru yang mereka temukan di Play Store, sebuah malware yang jauh lebih kompleks daripada malware biasa yang digunakan oleh penjahat siber untuk mencuri informasi keuangan dan akun dari pengguna Android di Asia Tenggara.
Peneliti Antiy Labs juga menerbitkan laporan yang merinci distribusi malware Android pada Mei 2019, dan menghubungkannya dengan OceanLotus.
“Penting untuk dicatat bahwa menurut statistik deteksi kami, mayoritas pengguna yang terpengaruh oleh distribusi ini berlokasi di Vietnam, dengan pengecualian sejumlah kecil orang yang berlokasi di China,” kata Kaspersky.
Sampel malware serupa kemudian ditemukan oleh Kaspersky di beberapa aplikasi yang didistribusikan di Play Store dan dikaitkan oleh para peneliti ke distribusi PhantomLance, serangkaian serangan yang ditargetkan yang bertujuan mengumpulkan informasi termasuk geolokasi, log panggilan, kontak, pesan teks, daftar aplikasi yang diinstal, dan informasi perangkat.
Didistribusikan melalui beberapa pasar Android
Di antara aplikasi Android yang berisi sampel malware PhantomLance, Kaspersky menyediakan daftar aplikasi berikut yang didistribusikan dan kemudian dihapus dari Play Store oleh Google pada November 2019.
| Package name | Google Play persistence date (at least) |
| com.zimice.browserturbo | 2019-11-06 |
| com.physlane.opengl | 2019-07-10 |
| com.unianin.adsskipper | 2018-12-26 |
| com.codedexon.prayerbook | 2018-08-20 |
| com.luxury.BeerAddress | 2018-08-20 |
| com.luxury.BiFinBall | 2018-08-20 |
| com.zonjob.browsercleaner | 2018-08-20 |
| com.linevialab.ffont | 2018-08-20 |
Sementara aplikasi yang ditemukan oleh Kaspersky telah dihapus dari Play Store, situasinya tidak sama dalam kasus pasar tidak resmi karena spyware PhantomLance masih di-host dan didistribusikan melalui toko yang tersedia di https://apkcombo[.]com, https://apk[.]support/, https://apkpure[.]com, https://apkpourandroid[.]com, serta masih banyak yang lainnya.
Fakta bahwa aplikasi berbahaya masih tersedia melalui pasar pihak ketiga mudah dijelaskan, karena sebagian besar toko ini bekerja dengan meniru toko resmi Play Store, mereka juga mengambil dan mendaftarkan aplikasi berbahaya dari Play Store.
Baca Juga: “Kerentanan Dalam iOS Baru Ini Memungkinkan Peretasan Hanya Dengan Mengirim Email“
Distribusi sudah berjalan setidaknya lebih dari lima tahun
“PhantomLance telah berlangsung selama lebih dari lima tahun dan aktor penjahat siber berhasil melewati filter app store beberapa kali, menggunakan teknik canggih untuk mencapai tujuan mereka,” kata Alexey Firsh, peneliti keamanan di Kaspersky’s GReAT.
“Kita juga dapat melihat bahwa penggunaan platform seluler sebagai titik market utama menjadi lebih populer, dengan semakin banyak aktor yang maju di bidang ini.”
