Malware Android RambleOn Menyerang Para Jurnalis di Korea Selatan
Posted by : Admin , Feb 20, 2023
Aktor-aktor penting di negara Korea Utara diduga menyerang para jurnalis di Korea Selatan melalui aplikasi Android yang mengandung malware sebagai bagian dari kampanye rekayasa sosial.
Mengutip dari The Hacker News, peneliti Interlab Ovi Liber mengatakan bahwa hasil malware ini berasal dari Interlab nirlaba yang berbasis di Korea Selatan, yang mengembangkan malware RambleOn baru.
Menurut peneliti Interlab Ovi Liber "Selain fungsi jahat, malware ini memiliki kemampuan untuk membaca dan membocorkan daftar kontak, pesan teks, konten panggilan suara, lokasi, dan waktu yang disusupi lainnya pada target".
Spyware menyamar sebagai aplikasi chatting aman yang disebut Fizzle (ch.seme), namun sebenarnya bertindak sebagai saluran untuk mengirimkan muatan tingkat berikutnya yang dihosting di pCloud dan Yandex. Aplikasi itu dikirim ke target melalui WeChat sebagai file Paket Android (APK) pada 7 Desember 2022 dengan dalih ingin membahas topik sensitif. Menurut peneliti, tujuan utama RambleOn bertindak sebagai pengunduh file APK lain (com.data.WeCoin) dengan meminta izin paksa untuk mengumpulkan file, mengakses aplikasi panggilan, mencegat pesan teks, merekam audio, dan data lokasi.
Muatan sekunder, di sisi lain, dimaksudkan untuk menyediakan saluran alternatif bagi perangkat Android yang terinfeksi untuk digunakan sebagai mekanisme perintah dan kontrol (C2) untuk Firebase Cloud Messaging (FCM).
Interlab mengatakan bahwa ada fungsionalitas FCM yang tumpang tindih antara RambleOn dan FastFire, bagian dari Spyware Android yang ditautkan oleh perusahaan keamanan siber Korea Selatan, S2W, Kimsuky tahun lalu.
"Korban serangan ini sangat cocok dengan modus operandi kelompok seperti APT37 dan Kimsuky, menunjukkan penggunaan penyimpanan pCloud dan Yandex untuk menyebarkan payload dan sistem komando dan kontrol (C2)," kata para peneliti.
Sumber : cyberthreatid.co.id
