Rusia, PCplus – Unit intelijen militer Rusia telah menargetkan perangkat Android Ukraina dengan “Infamous Chisel”, nama pelacakan untuk malware baru yang dirancang untuk menyusupi perangkat dan mencuri informasi penting, kata badan intelijen Barat pada Kamis (8/31).
Baca Juga: Trojan Android Ini Bisa Kuras Uang di Ponsel Kamu
“Infamous Chisel adalah kumpulan kode yang memungkinkan akses ke perangkat Android yang terinfeksi melalui jaringan Tor. Kode ini secara berkala mengumpulkan dan mengirim informasi korban dari perangkat yang terkompromi,” tulis pejabat intelijen dari Inggris, AS, Kanada, Australia, dan Selandia Baru seperti dikutip PCplus dari Arstechnica. Informasi yang dikirim adalah kombinasi dari informasi perangkat sistem, informasi aplikasi komersial, dan aplikasi khusus militer Ukraina.
Ancaman serius
Pihak keamanan Ukraina pertama kali mengungkap malware ini pada awal bulan Agustus. Pejabat Ukraina mengatakan bahwa personel Ukraina telah “mencegah usaha intelijen Rusia” mendapatkan akses ke informasi sensitif. Termasuk aktivitas angkatan bersenjata, penempatan pasukan pertahanan, penyediaan teknis, dan lain-lain. ”Infamous Chisel” sendiri mempertahankan diri dengan mengganti komponen sistem yang sah yang dikenal sebagai Netd dengan versi jahat.
Selain memungkinkan Infamous Chisel berjalan setiap kali perangkat dihidupkan ulang, Netd jahat juga merupakan komponen utama malware. Ia menggunakan kode dan perintah shell untuk mengumpulkan informasi perangkat. Termasuk mencari direktori untuk file yang memiliki sekumpulan ekstensi yang telah ditentukan. Bergantung pada lokasi file yang dikumpulkan di perangkat yang terinfeksi, netd mengirimkannya ke server Rusia baik realtime atau sekali sehari.
Saat mengirim file, Infamous Chisel menggunakan protokol TLS dengan IP dan port yang telah ditentukan. Penggunaan alamat IP lokal dijadikan mekanisme untuk meneruskan data melalui VPN atau saluran aman lainnya yang dikonfigurasi pada perangkat yang terinfeksi. Ini memungkinkan lalu lintas pengiriman data bercampur dengan lalu lintas jaringan terenkripsi lain. Jika koneksi ke IP lokal dan port gagal, malware kembali ke domain yang telah ditentukan menggunakan permintaan ke DNS milik Google.
Cara menginfeksi
Tidak disebutkan bagaimana malware tersebut terpasang. Namun dalam peringatan yang dikeluarkan oleh keamanan Ukraina, personel diduga Rusia telah menyita tablet Ukraina di medan perang. Lalu menyebarkan malware dan menyalahgunakan akses yang tersedia untuk menembus sistem.
Malware Android Rusia ini menurut laporan tersebut, dibuat oleh aktor ancaman yang dilacak sebagai Sandworm. Sandworm adalah salah satu kelompok peretas paling terampil dan kejam di dunia. Mereka berada di balik beberapa serangan paling merusak dalam sejarah. Kelompok ini telah terkait secara pasti dengan serangan penghapus NotPetya pada tahun 2017, sebuah wabah global yang menurut penilaian Gedung Putih menyebabkan kerugian $10 miliar, menjadikannya peretasan paling mahal dalam sejarah.
Sandworm juga telah terkait secara pasti dengan peretasan pada jaringan listrik Ukraina yang menyebabkan pemadaman luas selama bulan-bulan terdingin pada tahun 2016 dan lagi pada tahun 2017.