Hati-Hati, Spyware Berbahaya Intai Pengguna Android dan iOS

Tanggal: 06/07/2022

Jakarta - Google memperingatkan pengguna tentang spyware bernama Hermit yang dibuat oleh perusahaan berbasis di Italia, yaitu RCS Labs. Adapun spyware Hermit dibuat tidak hanya dapat mencuri data korbannya, tetapi juga merekam dan melakukan panggilan telepon tanpa izin pengguna. Tim peneliti Google bernama Threat Analysis Group (TAG), Benoit Sevens dan Clement Lecigne, mengungkap RCS Labs sengaja menginfeksi pengguna HP Android dan iOS dengan spyware mereka. Proses infeksi spyware ke perangkat pengguna ini dilakukan dengan bantuan beberapa Penyedia Layanan Internet (ISP) di Italia dan Kazakhstan, sebagaimana dikutip dari laporan TAG via Security Affairs, Sabtu (25/6/2022). TAG mendapati ada tujuh dari sembilan kerentanan zero-day yang ditemukan pada tahun 2021 dikembangkan oleh penyedia komersial, dan dijual kepada kelompok yang didukung pemerintah. Tim peneliti melacak ada lebih dari 30 vendor yang menjual kerentanan, atau kemampuan pengawasan kepada organisasi atau institusi dukungan pemerintah. TAG telah mengamati RCS Labs, dan mengetahui metode serangan mereka selalu diawali dengan tautan unik yang dikirim ke target. Setelah mengklik tautan, korban diarahkan ke halaman yang dirancang mengelabui pengguna agar mengunduh dan memasang aplikasi berbahaya di HP Android atau iOS mereka. “Dalam beberapa kasus, kami yakin para pelaku bekerja dengan ISP target untuk menonaktifkan konektivitas data seluler target,” tulis laporan Google. Setelah dinonaktifkan, penyerang akan mengirim tautan berbahaya melalui SMS yang meminta target untuk menginstal aplikasi untuk memulihkan konektivitas data mereka. “Kami percaya ini adalah alasan mengapa sebagian besar aplikasi menyamar sebagai aplikasi operator seluler. Ketika keterlibatan ISP tidak memungkinkan, aplikasi disamarkan sebagai aplikasi perpesanan.” Peneliti Google TAG mengamati, RCS Labs menggunakan cara sideloading spyware ke perangkat iOS dengan menambahkan sertifikat perusahaan. Setelah itu, mereka meminta korbanm untuk mengaktifkan instalasi aplikasi dari sumber yang tidak dikenal. Di kasus perangkat Android, pelakku idak menggunakan eksploitasi. Mereka menipu korban untuk memberikan izin untuk menginstal aplikasi dari sumber yang tidak dikenal. Di sisi lain, TAG juga menemukan setidaknya delapan negara di seluruh dunia membeli serangkaian celah keamanan Android zero-day dari perusahaan bernama Cytrox.

Selanjutnya, pemerintah tersebut menggunakan celah tersebut untuk menginstal software mata-mata pada perangkat dan smartphone milik target mereka. Mengutip laman Gizchina, Rabu (25/5/2022) menurut laporan terbaru Google, pengembangan ini menyoroti kecanggihan penawaran tool pengawasan yang tersedia di pasar. Celah ini kemungkinan merupakan bagian dari 58 kelemahan zero-day yang telah diidentifikasi Google pada 2021. Salah satunya adalah spyware Android berbahaya yang bisa mencuri dengar percakapan pengguna Android. Disebutkan oleh tim peneliti Google, naiknya ancaman celah zero-day pada 2021 karena meningkatnya deteksi dan temuan dari kerentanan zero-day, alih-alih peningkatan pemanfaatannya oleh aktor jahat. Saat ini, meskipun belum banyak informasi mengenai perusahaan pengawasan Cytrox tersebut, para peneliti mengungkap markas perusahaan ini ada di Skopje, Makedonia Utara. Selain itu, terungkap juga software mata-mata dari perusahaan ini mampu merekam data percakapan, sertifikat CA, dan menyembunyikan aplikasi-aplikasi. Menurut Google, para korban mendapatkan email berisi tautan ke website palsu yang telah dipasang software mata-mata bernama Predator. Kinerja Mirip dengan Malware Pegasus. Program ini mirip dengan software mata-mata milik perusahaan NSO Group, Pegasus. Keduanya sama-sama memiliki kemampuan mengaktifkan mikrofon dan melaksanakan tindakan seperti pengawasan tanpa diketahui korban.

Selain bisa mendengarkan percakapan, malware Cytrox, Predator, juga bisa membajak seluruh riwayat panggilan hingga mengakses pesan. Untuk menyamarkan diri, malware ini bisa menyembunyikan notifikasi. Cytrox disebut-sebut juga membanderol paket akses celah keamanan Android dan menjualnya kepada berbagai hacker terafiliasi pemerintah di Mesir, Armenia, Yunani, Madagaskar, Pantai Gading, Serbia, Spanyol, dan Indonesia. Para hacker ini disebut-sebut memakai celah keamanan dalam tiga kampanye berbeda antara Agustus dan Oktober 2021.

Sumber : Liputan6.com

https://www.liputan6.com/tekno/read/4995401/hati-hati-spyware-berbahaya-intai-pengguna-android-dan-ios