Ditemukan di perangkat yang ditargetkan di negara-negara Afrika, Tizi adalah backdoor Android yang mempunyai fitur lengkap dengan kemampuan rooting serta menginstal aplikasi spyware pada perangkat korban untuk mencuri data sensitif dari aplikasi media sosial dan perpesanan populer seperti Facebook, Twitter, WhatsApp, Viber, Skype, LinkedIn, dan Telegram.
“Tim keamanan Google Play Protect menemukan keluarga ini pada bulan September 2017 saat perangkat pemindai menemukan aplikasi dengan kemampuan rooting yang memanfaatkan kerentanan lama,” kata Google dalam sebuah posting blog. “Tim menggunakan aplikasi ini untuk menemukan lebih banyak varian aplikasi dari keluarga Tizi, yang tertua adalah dari bulan Oktober 2015.”
Sebagian besar aplikasi yang terinfeksi Tizi diiklankan di situs media sosial dan toko aplikasi pihak ke-3, menipu pengguna agar memasangnya.
Setelah terinstal, aplikasi pencarian yang tidak bersalah mendapatkan akses root dari perangkat yang terinfeksi untuk menginstal spyware, yang kemudian menghubungi server command and control nya dengan mengirimkan pesan teks SMS serta koordinat GPS dari perangkat yang terinfeksi ke nomor tertentu.
Inilah Cara Tizi Mendapatkan Akses Root Pada Perangkat Yang Terinfeksi
Untuk memperoleh akses root, backdoor mengeksploitasi kelemahan yang sebelumnya diungkapkan pada chipset, perangkat, dan versi Android yang lebih tua, termasuk CVE-2012-4220, CVE-2013-2596, CVE-2013-2597, CVE-2013-2595, CVE-2013- 2094, CVE-2013-6282, CVE-2014-3153, CVE-2015-3636, dan CVE-2015-1805.
Jika backdoor tidak dapat mengakses root pada perangkat yang terinfeksi karena semua kerentanan yang terdaftar dipatch, “backdoor akan tetap mencoba melakukan beberapa tindakan melalui tingkat izin yang tinggi, meminta pengguna untuk memberikannya, terutama seputar membaca dan mengirim pesan SMS serta pemantauan, pengalihan, dan pencegahan panggilan telepon keluar,” kata Google.
Tizi juga telah dirancang untuk berkomunikasi dengan server command and control nya melalui protokol HTTPS biasa atau menggunakan protokol pesan MQTT untuk menerima perintah dari penyerang dan mengunggah data yang dicuri.
Backdoor tersebut berisi berbagai kemampuan umum untuk spyware komersial, seperti:
- Mencuri data dari platform media sosial dan perpesanan populer termasuk Facebook, Twitter, WhatsApp, Viber, Skype, LinkedIn, dan Telegram.
- Merekam panggilan dari WhatsApp, Viber, dan Skype.
- Mengirim dan menerima pesan SMS.
- Mengakses acara kalender, log panggilan, kontak, foto, dan daftar aplikasi yang terinstal.
- Mencuri kunci enkripsi Wi-Fi.
- Merekam audio ambien dan memotret tanpa menampilkan gambar di layar perangkat.
Sejauh ini Google telah mengidentifikasi 1.300 perangkat Android yang terinfeksi oleh Tizi dan menghapusnya.
Mayoritas perangkat yang terinfeksi berada di negara-negara Afrika, khususnya Kenya, Nigeria, dan Tanzania.
