Warga UEA Jadi Target Spyware Besutan Spanyol

JAKARTA - Grup Analisis Ancaman (TAG) Google berhasil menemukan peretas dengan warga Uni Emirat Arab (UEA) sebagai target, di mana mereka kerap menggunakan browser Android asli Samsung.

Pada November 2022, Google lebih dahulu mengungkap keberadaan vendor spyware yang saat itu kurang terkenal bernama Variston, berbasis di Barcelona, Spanyol. Sekarang, bersama laporan terbaru Google mengungkapkan bagaimana peretas menggunakan alat tersebut.

Peretas menggunakan metode tautan satu kali yang dikirim ke target melalui SMS pada perangkat yang berlokasi di UEA.

Tautan tersebut akan mengarahkan pengguna ke laman landas yang identik dengan yang diperiksa TAG dalam kerangka kerja Heliconia, dikembangkan oleh vendor spyware komersial Variston.

Rantai eksploitasi akhirnya menghadirkan paket spyware Android berfitur lengkap yang ditulis dalam C++, mencakup pustaka untuk mendekripsi dan menangkap data dari berbagai aplikasi obrolan dan browser.

"Aktor yang menggunakan rantai eksploitasi untuk menargetkan pengguna UEA mungkin merupakan pelanggan atau mitra Variston, atau bekerja sama dengan vendor spyware," ungkap TAG Google dalam postingan blog resmi.

Namun, TAG mengatakan tidak jelas siapa yang berada di balik kampanye peretasan tersebut. Tak berhenti di situ, TAG masih di tahun yang sama, mereka juga menemukan rantai eksploitasi dengan 0 hari yang memengaruhi pengguna Android dan iOS, berupa tautan bit.ly yang dikirim melalui SMS untuk menanam spyware dari jarak jauh di perangkat pengguna.

Para pengguna sistem operasi milik Apple dan Google itu rata-rata berlokasi di Italia, Malaysia, dan Kazakhstan. Saat diklik, tautan akan mengarahkan pengunjung ke halaman yang menghosting eksploitasi untuk Android atau iOS.

Kemudian mengarahkan mereka ke situs web yang sah seperti halaman untuk melacak perusahaan pengiriman dan logistik BRT yang berbasis di Italia atau situs web berita Malaysia yang populer.

Apple lalu menambal bug sebulan kemudian, mereka menyadari adanya kerentanan dieksploitasi secara aktif terhadap versi iOS yang dirilis sebelum iOS 15.1.

Peretas juga menggunakan kerentanan iOS kedua yang digambarkan sebagai teknik bypass PAC yang diperbaiki oleh Apple pada Maret 2022, yang menurut peneliti Google merupakan teknik persis yang digunakan oleh pengembang spyware Makedonia Utara Cytrox untuk menginstal spyware Predatornya.

Dengan penemuan kampanye peretasan baru ini, seharusnya merupakan pengingat industri spyware komersial terus berkembang pesat.

“Bahkan vendor pengawasan yang lebih kecil memiliki akses ke 0-hari, dan vendor menimbun dan menggunakan kerentanan 0-hari secara rahasia menimbulkan risiko besar ke Internet,” ujar TAG Google, dikutip melalui TechCrunch, Kamis, 30 Maret.

“Kampanye ini juga dapat menunjukkan bahwa eksploit dan teknik dibagikan di antara vendor pengawasan, memungkinkan proliferasi alat peretasan yang berbahaya,” imbuhnya.