Bagikan:

JAKARTA - Kampanye spyware canggih mendapatkan bantuan dari penyedia layanan internet (ISP) untuk mengelabui pengguna agar mengunduh aplikasi berbahaya. Hal ini terungkap, menurut penelitian yang diterbitkan oleh Grup Analisis Ancaman (Technical Analysis Group/TAG) Google.

Ini juga menguatkan temuan sebelumnya dari kelompok riset keamanan Lookout, yang telah menghubungkan spyware, yang dijuluki Hermit, ke vendor spyware asal Italia, RCS Labs.

Lookout mengatakan RCS Labs berada di jalur yang sama dengan NSO Group, yakni perusahaan penyewaan pengawasan yang terkenal dan berada di belakang spyware Pegasus. NSO Group selama ini menjajakan spyware komersial mereka ke berbagai lembaga pemerintah.

Para peneliti di Lookout percaya Hermit telah dikerahkan oleh pemerintah Kazakhstan dan otoritas Italia. Sejalan dengan temuan ini, Google telah mengidentifikasi korban di kedua negara dan mengatakan akan memberi tahu pengguna yang terkena dampak dari spyware itu.

Dijelaskan dalam laporan Lookout, Hermit adalah ancaman modular yang dapat mengunduh kemampuan tambahan dari server perintah dan kontrol (C2). Ini memungkinkan spyware untuk mengakses catatan panggilan, lokasi, foto, dan pesan teks di perangkat korban.

Hermit juga dapat merekam audio, membuat dan mencegat panggilan telepon, serta melakukan root ke perangkat Android, yang memberinya kontrol penuh atas sistem operasi intinya.

Spyware ini dapat menginfeksi Android dan iPhone dengan menyamar sebagai sumber yang sah, biasanya dalam bentuk operator seluler atau aplikasi perpesanan.

Peneliti keamanan siber Google juga menemukan bahwa beberapa penyerang benar-benar bekerja dengan ISP untuk mematikan data seluler korban untuk melanjutkan skema mereka. Pelaku jahat kemudian akan menyamar sebagai operator seluler korban melalui SMS dan menipu pengguna agar percaya bahwa unduhan aplikasi berbahaya akan memulihkan konektivitas internet mereka.

Jika penyerang tidak dapat bekerja dengan ISP, Google mengatakan mereka menyamar sebagai aplikasi perpesanan yang tampaknya asli yang menipu pengguna untuk mengunduh.

Peneliti dari Lookout dan TAG juga mengatakan aplikasi yang mengandung Hermit tidak pernah tersedia melalui Google Play atau Apple App Store. Namun, penyerang dapat mendistribusikan aplikasi yang terinfeksi di iOS dengan mendaftar di Program Perusahaan Pengembang Apple.

Ini memungkinkan aktor jahat untuk melewati proses pemeriksaan standar App Store dan mendapatkan sertifikat yang “memenuhi semua persyaratan penandatanganan kode iOS pada perangkat iOS apa pun.”

Apple mengatakan kepada The Verge bahwa mereka telah mencabut akun atau sertifikat yang terkait dengan ancaman tersebut. Selain itu juga memberi tahu pengguna yang terpengaruh, Google juga telah mendorong pembaruan Google Play Protect ke semua pengguna.