Spyware Android Baru Dibuat oleh Kontraktor Pertahanan Rusia Ditemukan di Alam Liar - Otak Kita

Spyware Android Baru Dibuat oleh Kontraktor Pertahanan Rusia Ditemukan di Alam Liar


Otak Kita - Peneliti keamanan dunia maya telah menemukan bagian baru dari malware pengawasan seluler yang diyakini dikembangkan oleh kontraktor pertahanan Rusia yang telah diberi sanksi karena mengganggu pemilihan presiden AS 2016.

Dijuluki Monokle , trojan akses jarak jauh seluler telah secara aktif menargetkan ponsel Android sejak setidaknya Maret 2016 dan terutama digunakan dalam serangan yang sangat ditargetkan pada sejumlah orang.

Menurut peneliti keamanan di Lookout, Monokle memiliki berbagai fungsi mata-mata dan menggunakan teknik exfiltrasi data canggih, bahkan tanpa memerlukan akses root ke perangkat yang ditargetkan.

Seberapa Buruk Malware Surveillance Monokle

Secara khusus, malware tersebut menyalahgunakan layanan aksesibilitas Android untuk mengeksfiltrasi data dari sejumlah besar aplikasi pihak ketiga yang populer, termasuk Google Documents, Facebook messenger, Whatsapp, WeChat, dan Snapchat, dengan membaca teks yang ditampilkan di layar perangkat pada waktu kapan saja. .

Malware ini juga mengekstrak kamus teks prediksi-yang ditentukan pengguna untuk "memahami topik-topik yang menarik bagi target," dan juga berupaya merekam layar ponsel selama acara pembukaan kunci layar untuk mengkompromikan PIN, pola, atau kata sandi ponsel .

Selain itu, jika akses root tersedia, spyware menginstal sertifikat CA root yang ditentukan penyerang ke daftar sertifikat tepercaya pada perangkat yang dikompromikan, berpotensi memungkinkan penyerang untuk dengan mudah mencegat lalu lintas jaringan yang dilindungi SSL terenkripsi melalui Man-in-the- Serangan tengah (MiTM).

Fungsi lain dari Monokle meliputi:


  •     Lacak lokasi perangkat
  •     Rekam audio dan panggilan
  •     Buat rekaman layar
  •     Keylogger dan sidik jari perangkat
  •     Ambil kembali riwayat penelusuran dan panggilan
  •     Ambil foto, video, dan tangkapan layar
  •     Ambil email, SMS, dan Pesan
  •     Mencuri kontak dan informasi kalender
  •     membuat panggilan dan mengirim pesan teks atas nama korban
  •     Jalankan perintah shell sewenang-wenang, sebagai root, jika akses root tersedia 



Secara total, Monokle berisi 78 perintah yang telah ditentukan sebelumnya, yang dapat dikirimkan penyerang melalui SMS, panggilan telepon, pertukaran pesan email melalui POP3 dan SMTP, dan koneksi TCP inbound / outbound, memerintahkan malware untuk mengeksfiltrasi data yang diminta dan mengirimkannya ke komando remote penyerang -dan-kontrol server.

Penyamaran Spyware sebagai PornHub dan Google Android Apps

Menurut para peneliti, penyerang mendistribusikan Monokle melalui aplikasi palsu yang terlihat seperti Evernote, Google Play, Pornhub, Signal, UC Browser, Skype, dan aplikasi Android populer lainnya.


Sebagian besar aplikasi ini bahkan menyertakan fungsionalitas yang sah, mencegah pengguna yang ditargetkan untuk mencurigai aplikasi tersebut berbahaya.

Selain itu, beberapa sampel Monokle baru-baru ini bahkan dibundel dengan modul Xposed yang memungkinkan malware untuk menyesuaikan beberapa fitur sistem, akhirnya memperluas kemampuannya untuk mengaitkan dan menyembunyikan keberadaan dalam daftar proses.

Paket malware menggunakan file DEX dalam folder asetnya yang "mencakup semua fungsi kriptografi yang diimplementasikan di perpustakaan open source" spongycastle, "berbagai protokol email, ekstraksi dan pengelupasan semua data, serialisasi dan deserialisasi data menggunakan protokol Thrift, dan rooting dan menghubungkan fungsi, antara lain. "

Malware Android yang baru dan kemampuannya mengingatkan kita akan malware pengawasan yang kuat, Pegasus , yang dikembangkan oleh NSO Group yang berbasis di Israel untuk perangkat Apple iOS dan Google Android.

Namun, tidak seperti spyware Rusia Monokle, Pegasus hadir dengan eksploitasi nol-hari yang kuat yang menginstal spyware pada perangkat yang ditargetkan dengan sedikit atau tanpa interaksi pengguna.

Pegasus sebelumnya telah digunakan untuk menargetkan aktivis hak asasi manusia dan jurnalis, dari Meksiko ke Uni Emirat Arab dan lagi tahun lalu melawan seorang staf Amnesty International di Arab Saudi .

Kontraktor Pertahanan Rusia STC Mengembangkan Monokle Malware

Monokle dikembangkan oleh perusahaan yang berbasis di Rusia, yang disebut Special Technology Center Ltd. (STC) - kontraktor pertahanan swasta yang dikenal memproduksi peralatan UAV dan Frekuensi Radio (RF) untuk militer Rusia serta pelanggan pemerintah lainnya.


Menurut para peneliti Lookout, Monokle dan STC's Android security suite yang disebut Defender secara digital ditandatangani dengan sertifikat kriptografi yang sama dan juga berbagi komando dan kontrol infrastruktur yang sama.

    "Infrastruktur perintah-dan-kontrol yang berkomunikasi dengan aplikasi Defender juga berkomunikasi dengan sampel Monokle. Sertifikat penandatanganan yang digunakan untuk menandatangani paket aplikasi Android juga tumpang tindih antara Defender dan Monokle," menurut laporan itu.

    "Tumpang tindih tambahan diamati oleh para peneliti Lookout antara Monokle dan perangkat lunak keamanan defensif yang diproduksi oleh STC dalam pilihan pengembangan dan implementasi penulis." 


Monokle untuk iOS Dalam Pengembangan

Selain Android, para peneliti juga menemukan beberapa sampel malware Monokle, analisis yang mengungkap keberadaan versi iOS dari Monokle yang menargetkan perangkat Apple, meskipun para peneliti tidak menemukan bukti adanya infeksi iOS aktif seperti sekarang.

Beberapa perintah dalam sampel malware tampaknya tidak berfungsi sebagai bagian dari klien Android dan kemungkinan telah ditambahkan secara tidak sengaja, yang menunjukkan bahwa versi Monokle iOS mungkin sedang dalam pengembangan.

Perintah-perintah itu termasuk fungsi iOS untuk gantungan kunci, koneksi iCloud, data accelerometer Apple iWatch, izin iOS, dan fitur atau layanan iOS lainnya.

Menurut peneliti Lookout, Monokle digunakan dalam serangan yang sangat ditargetkan pada sejumlah orang di wilayah Kaukasus di Eropa Timur serta individu yang tertarik pada Islam dan kelompok militan Ahrar al-Sham di Suriah, dan individu di negara Asia Tengah dan bekas republik Soviet, Uzbekistan.

Untuk informasi lebih lanjut, Anda dapat melihat laporan terperinci yang diterbitkan oleh Lookout.

Iklan Atas Artikel

Iklan Tengah Artikel 1

Iklan Tengah Artikel 2

Iklan Bawah Artikel