banner large

Penyerang menyerang perangkat iOS dan Android dengan spyware di Italia dan Kazakhstan

Comment
X
Share


AppleInsider didukung oleh audiensnya dan dapat memperoleh komisi sebagai Associate Amazon dan mitra afiliasi untuk pembelian yang memenuhi syarat. Kemitraan afiliasi ini tidak memengaruhi konten editorial kami.

Google telah mengungkapkan bahwa pengguna Android dan iOS di Eropa tertipu untuk menginstal aplikasi berbahaya yang kemudian akan mencuri informasi pribadi dari perangkat.

Sebuah laporan yang diterbitkan oleh Google pada hari Kamis memiliki temuan rinci dari penyelidikan yang sedang berlangsung vendor spyware komersial sebagai bagian dari kampanye Project Zero.

Perusahaan itu menyebut perusahaan Italia RCS Labs sebagai pihak yang kemungkinan bertanggung jawab atas serangan itu. Google menuduh RCS Labs menggunakan “kombinasi taktik” untuk menargetkan pengguna di Italia dan Kazakhstan dengan apa yang dianggap sebagai “serangan unduhan drive-by.”

Sebuah pesan akan mengklaim bahwa korban telah kehilangan akses ke akun atau layanan mereka, dan harus masuk melalui tautan yang disediakan untuk memulihkan layanan. Tautan pemasangan yang dikirim oleh aktor jahat menyamar sebagai penyedia layanan internet atau pemberitahuan aplikasi perpesanan.

Setelah korban terhubung ke situs yang ditautkan, mereka diperlihatkan logo asli dan petunjuk realistis untuk reset akun, dengan tautan untuk mengunduh aplikasi jahat yang tersembunyi di balik tombol dan ikon yang tampak resmi. Misalnya, salah satu dari banyak varian aplikasi yang digunakan dalam kampanye yang dipasang memiliki logo Samsung sebagai ikonnya, dan akan mengarah ke situs web Samsung palsu.

Versi serangan Android menggunakan file .apk. Karena aplikasi Android dapat diinstal secara bebas dari luar Google Play Store, pelaku tidak perlu meyakinkan korban untuk memasang sertifikat khusus.

Korban dengan perangkat Android kemudian memiliki banyak izin yang diberikan kepada penyerang, seperti akses ke status jaringan, kredensial pengguna, detail kontak, membaca perangkat penyimpanan eksternal yang disediakan.

Korban yang menggunakan iOS kemudian diinstruksikan untuk menginstal sertifikat perusahaan. Jika pengguna mengikuti prosesnya, sertifikat yang ditandatangani dengan benar memungkinkan aplikasi berbahaya untuk menghindari perlindungan App Store setelah melakukan sideload.

Versi iOS dari aplikasi jahat menggunakan enam eksploitasi sistem yang berbeda untuk mengekstrak informasi dari perangkat, dengan aplikasi dipecah menjadi beberapa bagian, masing-masing menggunakan eksploitasi tertentu. Empat dari eksploitasi ini ditulis oleh komunitas jailbreaking untuk melewati lapisan verifikasi untuk membuka akses root penuh ke sistem.

Karena sandbox iOS, jumlah data yang diekstraksi terbatas dalam cakupannya. Sementara data seperti database lokal aplikasi perpesanan WhatsApp diperoleh dari para korban, sandboxing mencegah aplikasi tersebut secara langsung berinteraksi dan mencuri informasi aplikasi lain secara langsung.

Google telah mengeluarkan peringatan kepada korban Android dari kampanye ini. Perusahaan juga telah membuat perubahan pada Google Play Protect, serta menonaktifkan proyek Firebase tertentu yang digunakan oleh penyerang. Tidak jelas apakah Apple telah membatalkan sertifikat.

Pengguna Apple telah lama menjadi target aktor jahat. Pada Januari 2022, agen pemerintah berhasil memasukkan malware ke perangkat Mac para aktivis pro-demokrasi. Baru-baru ini pada bulan April, serangan phishing pada akun iCloud korban menyebabkan aset senilai $650.000 dicuri.

Pemilik perangkat iOS atau iPadOS dilindungi dari serangan semacam ini jika mereka tidak memasang sertifikat di luar organisasinya. Ini juga merupakan praktik yang baik bagi setiap pengguna untuk menghubungi perusahaan secara langsung menggunakan metode komunikasi yang jelas yang ditetapkan sebelum pesan jika mereka memiliki pertanyaan tentang ajakan bertindak yang dilakukan melalui layanan pesan.

Leave a Reply

Your email address will not be published.