Trojan akses jarak jauh Windows (RAT) yang sebelumnya dikenal dengan kemampuan mencuri kredensial kini telah memperluas cakupannya untuk mengarahkan pandangannya pada pengguna perangkat Android untuk memajukan motif spionase penyerang.

“Pengembang LodaRAT telah menambahkan Android sebagai platform yang ditargetkan,” kata peneliti Cisco Talos “Iterasi baru LodaRAT untuk Windows telah diidentifikasi dengan kemampuan perekaman suara yang ditingkatkan.”

Kasablanca, kelompok di balik malware, dikatakan telah menyebarkan RAT baru dalam kampanye hybrid yang sedang berlangsung yang menargetkan pengguna Bangladesh, catat para peneliti.

Alasan mengapa organisasi yang berbasis di Bangladesh secara khusus dipilih untuk kampanye ini masih belum jelas, seperti halnya identitas aktor ancaman.

Pertama kali didokumentasikan pada Mei 2017 oleh Proofpoint , Loda adalah malware AutoIt yang biasanya dikirimkan melalui umpan phishing yang dilengkapi untuk menjalankan berbagai perintah yang dirancang untuk merekam audio, video, dan menangkap informasi sensitif lainnya, dengan varian terbaru yang ditujukan untuk mencuri kata sandi dan cookie dari browser.

Versi terbaru – dijuluki Loda4Android dan Loda4Windows – sangat mirip karena dilengkapi dengan serangkaian fitur pengumpulan data lengkap yang merupakan aplikasi penguntit.

Namun, malware Android juga berbeda, karena malware ini menghindari teknik yang sering digunakan oleh Trojan perbankan, seperti menyalahgunakan API Aksesibilitas untuk merekam aktivitas di layar.

Selain berbagi infrastruktur perintah-dan-kontrol (C2) yang sama untuk Android dan Windows, serangan, yang berasal pada Oktober 2020, telah menargetkan bank dan vendor perangkat lunak voice-over-IP kelas operator, dengan petunjuk mengarah ke pembuat malware berbasis di Maroko.

Para penyerang juga membuat banyak sekali trik rekayasa sosial, mulai dari domain yang salah ketik hingga dokumen RTF berbahaya yang disematkan dalam email, yang, ketika dibuka, memicu rantai infeksi yang memanfaatkan kerentanan kerusakan memori di Microsoft Office (CVE-2017-11882 ) untuk mengunduh muatan akhir.

Sementara versi Android dari malware dapat mengambil foto dan screenshot, membaca SMS dan log panggilan, mengirim SMS dan melakukan panggilan ke nomor tertentu, dan mencegat pesan SMS atau panggilan telepon, versi Windows terbaru hadir dengan perintah baru yang memungkinkan akses jarak jauh ke mesin target melalui Remote Desktop Protocol (RDP) dan perintah “Suara” yang menggunakan pustaka audio BASS untuk merekam audio dari mikrofon yang terhubung.

“Fakta bahwa kelompok ancaman telah berevolusi menjadi kampanye hibrid yang menargetkan Windows dan Android menunjukkan kelompok yang tumbuh subur dan berkembang,” kata peneliti Cisco Talos.

“Seiring dengan peningkatan ini, pelaku ancaman kini telah berfokus pada target tertentu, yang menunjukkan kemampuan operasional yang lebih matang.

Seperti halnya dengan versi Loda sebelumnya, kedua versi dari iterasi baru ini menimbulkan ancaman serius, karena keduanya dapat menyebabkan ancaman yang signifikan. pelanggaran data atau kerugian finansial yang besar.”

Demikian artikel tentang “LodaRAT Malware Sekarang Menargetkan Pengguna Android” yang di kutip dari thehackernews

Share to