banner large

Google mengatakan penyerang bekerja dengan ISP untuk menyebarkan spyware Hermit di Android dan iOS

Comment
X
Share

Kampanye spyware canggih mendapatkan bantuan dari penyedia layanan internet (ISP) untuk mengelabui pengguna agar mengunduh aplikasi berbahaya, menurut penelitian yang diterbitkan oleh Grup Analisis Ancaman (TAG) Google (via TechCrunch). Ini menguatkan temuan sebelumnya dari kelompok riset keamanan Lookout, yang telah menghubungkan spyware, yang dijuluki Hermit, ke vendor spyware Italia RCS Labs.

Lookout mengatakan RCS Labs berada di jalur yang sama dengan NSO Group — perusahaan pengawasan-untuk-sewa yang terkenal di belakang spyware Pegasus — dan menjajakan spyware komersial ke berbagai lembaga pemerintah. Para peneliti di Lookout percaya Hermit telah dikerahkan oleh pemerintah Kazakhstan dan otoritas Italia. Sejalan dengan temuan ini, Google telah mengidentifikasi korban di kedua negara dan mengatakan akan memberi tahu pengguna yang terkena dampak.

Seperti yang dijelaskan dalam laporan Lookout, Hermit adalah ancaman modular yang dapat mengunduh kemampuan tambahan dari server perintah dan kontrol (C2). Hal ini memungkinkan spyware untuk mengakses catatan panggilan, lokasi, foto, dan pesan teks pada perangkat korban. Hermit juga dapat merekam audio, membuat dan mencegat panggilan telepon, serta melakukan root ke perangkat Android, yang memberinya kontrol penuh atas sistem operasi intinya.

Spyware dapat menginfeksi Android dan iPhone dengan menyamar sebagai sumber yang sah, biasanya dalam bentuk operator seluler atau aplikasi perpesanan. Peneliti keamanan siber Google menemukan bahwa beberapa penyerang benar-benar bekerja dengan ISP untuk mematikan data seluler korban untuk melanjutkan skema mereka. Pelaku jahat kemudian akan menyamar sebagai operator seluler korban melalui SMS dan menipu pengguna agar percaya bahwa unduhan aplikasi berbahaya akan memulihkan konektivitas internet mereka. Jika penyerang tidak dapat bekerja dengan ISP, Google mengatakan mereka berpura-pura sebagai aplikasi perpesanan yang tampaknya asli yang menipu pengguna untuk mengunduh.

Peneliti dari Lookout dan TAG mengatakan aplikasi yang mengandung Hermit tidak pernah tersedia melalui Google Play atau Apple App Store. Namun, penyerang dapat mendistribusikan aplikasi yang terinfeksi di iOS dengan mendaftar di Program Perusahaan Pengembang Apple. Ini memungkinkan aktor jahat untuk melewati proses pemeriksaan standar App Store dan mendapatkan sertifikat yang “memenuhi semua persyaratan penandatanganan kode iOS pada perangkat iOS apa pun.”

Apple mengatakan The Verge bahwa sejak itu telah mencabut akun atau sertifikat apa pun yang terkait dengan ancaman tersebut. Selain memberi tahu pengguna yang terpengaruh, Google juga telah mendorong pembaruan Google Play Protect ke semua pengguna.

Leave a Reply

Your email address will not be published.