Berita Terbaru

Serangan Baru Kimsuky, Malware Android Menyamar Aplikasi Kurir

Ilustrasi QR Code

Ilustrasi QR Code

Kelompok peretas asal Korea Utara yang dikenal dengan nama Kimsuky kembali menjadi sorotan dunia keamanan siber. Kelompok ini dilaporkan menjalankan kampanye serangan siber terbaru dengan menyebarkan varian baru malware Android bernama DocSwap. Yang membuat serangan ini semakin berbahaya, malware tersebut disebarkan melalui kode QR yang ditempatkan di situs phishing yang meniru perusahaan logistik ternama asal Seoul, CJ Logistics.

Temuan ini diungkap oleh perusahaan keamanan siber asal Korea Selatan, ENKI, yang menilai kampanye ini sebagai bentuk evolusi teknik serangan Kimsuky. Tidak hanya mengandalkan phishing konvensional, pelaku kini memanfaatkan kebiasaan pengguna memindai QR code, terutama dalam konteks pengiriman paket dan layanan logistik.

 

Menyamar sebagai Aplikasi Resmi Pengiriman

Dalam modus operandi terbarunya, Kimsuky memanfaatkan kode QR dan notifikasi pop-up untuk mengelabui korban. Korban diarahkan untuk mengunduh aplikasi Android palsu yang diklaim sebagai aplikasi resmi pelacakan pengiriman CJ Logistics. Padahal, aplikasi tersebut telah disusupi malware berbahaya.

Menurut ENKI, aplikasi tersebut akan mendekripsi file APK terenkripsi yang tertanam di dalamnya. Setelah berhasil didekripsi, aplikasi akan menjalankan layanan berbahaya dengan kemampuan Remote Access Trojan (RAT). Dengan kemampuan ini, pelaku dapat mengendalikan perangkat korban dari jarak jauh tanpa disadari.

Untuk menghindari kecurigaan, pelaku memanfaatkan fakta bahwa Android secara default menampilkan peringatan keamanan ketika pengguna mencoba menginstal aplikasi dari sumber tidak dikenal. Dalam tampilan aplikasi, pelaku mengklaim bahwa aplikasi tersebut adalah rilis resmi dan aman, sehingga korban diyakinkan untuk mengabaikan peringatan sistem dan melanjutkan proses instalasi.

 

Smishing dan Phishing Jadi Pintu Masuk

ENKI menjelaskan bahwa sebagian besar korban diduga menerima pesan smishing (SMS phishing) atau email phishing yang mengatasnamakan perusahaan pengiriman. Pesan tersebut biasanya berisi pemberitahuan paket atau permintaan konfirmasi pengiriman, lengkap dengan tautan yang mengarah ke situs phishing.

Situs tersebut dibuat menyerupai tampilan resmi CJ Logistics, sehingga sulit dibedakan oleh pengguna awam. Ketika korban membuka tautan dari komputer desktop, mereka akan disuguhi tampilan halaman dengan kode QR dan instruksi untuk memindainya menggunakan ponsel Android.

Alasan yang diberikan pun terdengar masuk akal, yakni untuk menginstal aplikasi pelacakan pengiriman dan mengecek status paket secara real-time. Padahal, QR code tersebut merupakan pintu masuk utama untuk menginfeksi perangkat korban.

 

Mekanisme QR Code yang Dirancang Canggih

Kode QR yang digunakan dalam kampanye ini diarahkan ke skrip “tracking.php”. Skrip tersebut memiliki logika khusus di sisi server untuk memeriksa User-Agent browser korban. Jika korban mengakses dari desktop, mereka akan diminta memindai QR code. Namun jika diakses dari perangkat Android, proses pengunduhan aplikasi langsung dimulai.

Setelah QR code dipindai, korban akan melihat pesan yang meminta mereka menginstal modul keamanan tambahan. Alasan yang digunakan cukup meyakinkan, yakni verifikasi identitas sesuai dengan kebijakan keamanan bea cukai internasional. Modus ini dirancang untuk menciptakan rasa urgensi dan kepercayaan.

Jika korban mengikuti instruksi tersebut, sebuah file APK bernama “SecDelivery.apk” akan diunduh dari server dengan alamat 27.102.137[.]181 .

 

Cara Kerja Malware DocSwap

Setelah berhasil diinstal, SecDelivery.apk tidak langsung menjalankan aksinya. Aplikasi ini terlebih dahulu memastikan telah mendapatkan berbagai izin penting, seperti:

  • Membaca dan mengelola penyimpanan eksternal
  • Mengakses internet
  • Menginstal paket tambahan

Jika seluruh izin telah diberikan, barulah aplikasi mendekripsi APK berbahaya lain yang tersembunyi di dalam sumber dayanya. APK inilah yang berisi versi terbaru malware DocSwap.

Selanjutnya, aplikasi akan mendaftarkan layanan berbahaya bernama MainService dengan identitas “com.delivery.security.MainService ”. Pada saat yang sama, aplikasi juga menjalankan AuthActivity, yang menyamar sebagai halaman autentikasi OTP.

Korban diminta memasukkan nomor pengiriman, yang ternyata sudah ditanam langsung di dalam kode APK dengan nilai 742938128549. Nomor ini kemungkinan sudah diberikan sebelumnya melalui pesan phishing.

Setelah nomor dimasukkan, aplikasi akan menghasilkan kode verifikasi enam digit secara acak dan menampilkannya melalui notifikasi. Korban kemudian diminta memasukkan kode tersebut sebagai bagian dari proses verifikasi palsu.

 

Situs Resmi sebagai Umpan, Serangan Jalan Terus

Setelah korban memasukkan kode verifikasi, aplikasi akan membuka halaman WebView yang mengarah ke situs resmi CJ Logistics. Langkah ini bertujuan meyakinkan korban bahwa proses yang mereka jalani memang sah.

Namun di balik layar, malware DocSwap telah aktif sepenuhnya. Trojan tersebut diam-diam terhubung ke server yang dikendalikan penyerang di 27.102.137[.]181:50005 . Dari server ini, pelaku dapat mengirimkan hingga 57 jenis perintah berbeda ke perangkat korban.

Perintah-perintah tersebut memungkinkan penyerang untuk:

  • Merekam ketikan keyboard
  • Merekam audio lingkungan
  • Mengaktifkan atau menghentikan kamera
  • Mengelola dan mencuri file
  • Menjalankan perintah sistem
  • Mengunggah dan mengunduh file
  • Mengumpulkan lokasi, SMS, kontak, dan riwayat panggilan
  • Mengambil daftar aplikasi yang terinstal

Dengan kemampuan seluas ini, perangkat korban praktis berada di bawah kendali penuh penyerang.

 

Aplikasi VPN dan Airdrop Ikut Disusupi

Tidak hanya berhenti pada aplikasi pengiriman palsu, ENKI juga menemukan dua sampel malware lain dalam kampanye ini. Salah satunya menyamar sebagai aplikasi P2B Airdrop, sementara yang lainnya merupakan versi yang telah dimodifikasi dari aplikasi VPN sah bernama BYCOM VPN.

BYCOM VPN sendiri merupakan aplikasi resmi yang tersedia di Google Play Store dan dikembangkan oleh perusahaan IT asal India, Bycom Solutions. Temuan ini menunjukkan bahwa Kimsuky menyisipkan kode berbahaya ke dalam APK asli, lalu mengemas ulang aplikasi tersebut untuk digunakan dalam serangan.

Teknik ini berbahaya karena korban mungkin merasa aman menginstal aplikasi yang tampak sah dan dikenal luas.

 

Infrastruktur Phishing yang Terus Berkembang

Analisis lanjutan juga menemukan bahwa Kimsuky mengoperasikan sejumlah situs phishing yang meniru platform populer Korea Selatan seperti Naver dan Kakao. Situs-situs ini bertujuan mencuri kredensial pengguna dan memiliki keterkaitan dengan kampanye pencurian akun yang pernah dilakukan Kimsuky sebelumnya.

Menurut ENKI, versi terbaru malware ini menunjukkan peningkatan kemampuan teknis, termasuk penggunaan fungsi native baru untuk mendekripsi APK internal dan penerapan berbagai perilaku umpan (decoy) yang lebih kompleks.

 

KimJongRAT, Ancaman Lain dari Kimsuky

Di saat yang bersamaan, Kimsuky juga dikaitkan dengan kampanye phishing lain yang menargetkan pengguna Windows. Dalam kampanye ini, mereka menyebarkan trojan akses jarak jauh bernama KimJongRAT melalui email bertema pajak.

Malware ini dikirim dalam bentuk file ZIP yang berisi shortcut Windows (LNK) yang disamarkan sebagai dokumen PDF. Saat dibuka, file tersebut menjalankan mshta.exe untuk mengeksekusi payload HTML Application (HTA).

HTA ini berfungsi sebagai loader yang menampilkan PDF palsu, sambil diam-diam mengunduh dan menjalankan KimJongRAT. Malware ini kemudian mengumpulkan berbagai data sensitif, mulai dari informasi sistem, data browser, dompet kripto, Telegram, Discord, hingga sertifikat perbankan online Korea Selatan.

 

Keterkaitan dengan Lazarus Group

Berdasarkan laporan organisasi keamanan DTEX, Kimsuky merupakan bagian dari Reconnaissance General Bureau (RGB), yang juga menaungi kelompok peretas terkenal lainnya, yaitu Lazarus Group.

Meski memiliki fokus berbeda—Kimsuky lebih condong ke spionase siber, sementara Lazarus fokus pada kejahatan finansial—keduanya diketahui memiliki tingkat koordinasi yang sangat tinggi.

Dalam satu kasus yang menargetkan perusahaan blockchain Korea Selatan, Kimsuky diduga membuka akses awal melalui phishing. Setelah itu, Lazarus Group mengambil alih dengan mengeksploitasi celah CVE-2024-38193 untuk mencuri aset digital bernilai jutaan dolar hanya dalam waktu kurang dari 48 jam.

Peneliti Purple Team Security menyebut kolaborasi ini sebagai pendekatan “mesin ganda”, di mana spionase dan pencurian finansial berjalan beriringan, menjadikan Kimsuky dan Lazarus sebagai salah satu ancaman siber paling berbahaya saat ini.

Bagikan artikel ini
Komentar ()

Berlangganan

Berlangganan newsletter kami dan dapatkan informasi terbaru.

Artikel Terkait

Video Terkait