Ingat Namanya! Spyware Android GhostChat

Ingat Namanya! Spyware Android GhostChat – Para peneliti keamanan dari ESET baru saja mengungkap operasi serangan siber berbahaya yang menggunakan spyware Android berbahaya bernama GhostChat.

Aplikasi ini menggunakan taktik “romance scam” (penipuan asmara) untuk memikat korbannya, namun teknik yang digunakan sangat mungkin digunakan secara masif dan meluas di masa depan.

Cara Kerja GhostChat

GhostChat menyamar sebagai aplikasi obrolan (chatting) yang menjanjikan akses untuk berkomunikasi dengan wanita melalui profil-profil palsu. Uniknya, aplikasi ini menggunakan lapisan manipulasi psikologis yang jarang terlihat:

Akses “Eksklusif” Palsu: Saat dibuka, profil-profil di dalam aplikasi terlihat terkunci. Korban diminta memasukkan kode sandi khusus untuk membukanya. Padahal, kode ini sudah tertanam di dalam aplikasi (hardcoded) dan hanya digunakan untuk menciptakan kesan bahwa akses tersebut “eksklusif”.
Umpan WhatsApp: Setelah “terkunci” terbuka, korban diarahkan untuk memulai percakapan melalui WhatsApp dengan nomor lokal. Nomor-nomor ini dioperasikan oleh pelaku untuk menjebak korban lebih jauh.
Spionase di Balik Layar: Begitu aplikasi terpasang, GhostChat langsung bekerja secara diam-diam. Ia mencuri daftar kontak, gambar, dokumen (PDF, Word, Excel), dan memantau setiap foto baru yang diambil oleh pengguna setiap lima menit.

Serangan Multi Platform

Penyelidikan lebih lanjut menunjukkan bahwa kelompok kriminal ini tidak hanya mengincar ponsel, tetapi juga komputer dan akun WhatsApp melalui metode berikut:

Serangan ClickFix (PC): Pelaku membuat situs palsu yang meniru organisasi pemerintah (seperti PKCERT di Pakistan). Pengunjung diperingatkan tentang masalah keamanan dan diminta menekan tombol “Update”. Tombol ini memicu perintah yang mengunduh malware ke komputer korban, memungkinkan pelaku menjalankan perintah jarak jauh secara tersembunyi.
Pembajakan Akun WhatsApp (GhostPairing): Melalui situs palsu Kementerian Pertahanan, korban diminta memindai kode QR untuk bergabung ke komunitas tertentu. Tanpa disadari, pemindaian ini sebenarnya menghubungkan akun WhatsApp korban ke perangkat pelaku (link device). Hal ini memberikan pelaku akses penuh ke riwayat pesan dan kontak korban.

Cara Melindungi Diri

Meskipun kampanye ini terdeteksi di Pakistan, metode yang digunakan sangat universal. Berikut adalah langkah pencegahannya:

GhostChat tidak pernah tersedia di Google Play. Jangan pernah mengunduh aplikasi dalam bentuk file .APK dari situs web atau tautan yang tidak jelas.
Fitur bawaan Android ini secara otomatis memindai dan memblokir versi spyware yang telah dikenal.
Jangan pernah memindai kode QR dari situs web yang tidak resmi, terutama jika situs tersebut meminta Anda untuk “menautkan perangkat” (link a device) di WhatsApp.
Periksa pengaturan WhatsApp Anda secara berkala (Settings > Linked Devices). Jika ada perangkat yang tidak Anda kenali, segera pilih “Log Out”.

Investigasi ini mengungkap operasi spionase yang sangat bertarget dan beragam yang ditujukan pada pengguna. Inti dari ancaman ini adalah aplikasi Android berbahaya yang menyamar sebagai aplikasi obrolan.

Yang menggunakan taktik penipuan percintaan baru yang membutuhkan kredensial dan kode pembuka kunci untuk memulai komunikasi, tingkat upaya dan personalisasi yang tidak umum terlihat dalam ancaman seluler.

Setelah terinstal, aplikasi tersebut secara diam-diam mengekstrak data sensitif dan secara aktif memantau perangkat untuk konten baru, yang menegaskan perannya sebagai alat pengawasan seluler.

Operasi ini juga terhubung dengan infrastruktur yang lebih luas yang melibatkan pengiriman malware berbasis ClickFix dan teknik pembajakan akun WhatsApp.

Operasi ini memanfaatkan situs web palsu, peniruan identitas otoritas nasional, dan penautan perangkat berbasis kode QR yang menipu untuk membahayakan platform desktop dan seluler.

Baca artikel lainnya: