.webp)
Kemunculan malware GravityRAT kini meresahkan para pengguna WhatsApp. Pasalnya versi baru dari malware ini bisa mencuri backup data WhatsApp dan menghapus file di perangkat.
Dilansir dari detikINET, GravityRAT sebenarnya sudah aktif setidaknya sejak tahun 2015, namun baru mulai mengincar pengguna Android pada tahun 2020.
Malware ini dioperasikan oleh 'Space Cobra' untuk mengincar target yang spesifik.
SCROLL TO CONTINUE WITH CONTENT
Spyware ini beredar menggunakan nama 'BingeChat' yang mengklaim sebagai aplikasi chat dengan enkripsi end-to-end serta memiliki tampilan yang sederhana dan fitur yang melimpah.
Menurut laporan peneliti keamanan siber dari ESET, aplikasi BingeChat didistribusikan lewat bingechat[.]net dan beberapa domain atau saluran distribusi lainnya. Download aplikasi tersebut berbasis undangan dan meminta pengguna memberikan kredensial yang valid atau mendaftarkan akun baru.
Setelah diinstal, BingeChat akan meminta sejumlah izin akses termasuk untuk kontak, lokasi, telepon, SMS, storage, log panggilan, kamera, dan mikrofon. Kemungkinan pengguna tidak langsung curiga karena merupakan hal biasa yang diminta oleh aplikasi chat.
Kemudian sebelum pengguna mendaftarkan akun baru di BingeChat, aplikasi ini akan mengirimkan log panggilan, daftar kontak, SMS, lokasi perangkat, dan informasi dasar perangkat ke server command and control (C2) yang dikendalikan oleh operator malware.
Menggunakan APK Android merupakan taktik yang pernah dipakai operator malware GravityRAT sebelumnya. Pada tahun 2021 mereka menggunakan aplikasi chat bernama 'SoSafe', dan 'Travel Mate Pro'.
Selain itu, malware ini juga akan mencuri file jpg, jpeg, log, png, PNG, JPG, JPEG, txt, pdf, xml, doc, xls, xlsx, ppt, pptx, docx, opus, crypt14, crypt12, crypt13, crypt18, dan crypt32. File dengan ekstensi crypt menandakan backup data WhatsApp, seperti dikutip dari Bleeping Computer, Sabtu (16/6/2023).
Backup data di WhatsApp yang dimaksud antara lain, riwayat pesan, file media, dan data lainnya ke perangkat baru. Jadi backup bisa berisi informasi sensitif seperti teks, video, foto, dokumen, dan lain-lain yang tidak terenskripsi.
Selain mencuri data WhatsApp, malware GravityRAT juga bisa menerima tiga perintah dari C2, yaitu perintah untuk menghapus semua data (untuk ekstensi tertentu), menghapus semua kontak, dan menghapus semua log panggilan.
Saat ini kampanye malware GravityRAT lebih berfokus di India. Tapi semua pengguna Android juga harus berhati-hati dengan tidak mengunduh APK di luar Google Play Store dan meneliti izin akses yang diminta aplikasi.
(urw/ata)
