Google merinci spyware komersial yang menargetkan perangkat Android dan iOS

Google telah memperingatkan strain spyware tingkat perusahaan yang menargetkan pengguna perangkat seluler Android dan iOS.

Menurut Grup Analisis Ancaman Google (TAG) peneliti Benoit Sevens dan Clement Lecigne, serta Project Zero, varian spyware iOS dan Android tingkat perusahaan dan pemerintah yang berbeda kini beredar aktif.

Korban telah ditemukan di Italia dan Kazakhstan.

Spyware, dijuluki Hermit, adalah perangkat pengawasan modular. Setelah menganalisis 16 dari 25 modul yang diketahui, peneliti keamanan siber Lookout mengatakan malware tersebut akan mencoba me-root perangkat dan memiliki fitur-fitur termasuk: merekam audio, mengalihkan atau membuat panggilan telepon, mencuri petak informasi seperti pesan SMS, log panggilan, daftar kontak, foto , dan mengekstrak data lokasi GPS.

Analisis Lookout, diterbitkan pada 16 Juni, menyarankan agar spyware dikirim melalui pesan SMS berbahaya. Kesimpulan TAG serupa, dengan tautan unik yang dikirim ke target yang menyamar sebagai pesan yang dikirim oleh penyedia layanan internet (ISP) atau aplikasi perpesanan.

“Dalam beberapa kasus, kami yakin para pelaku bekerja dengan ISP target untuk menonaktifkan konektivitas data seluler target,” kata Google. “Setelah dinonaktifkan, penyerang akan mengirim tautan berbahaya melalui SMS yang meminta target untuk menginstal aplikasi untuk memulihkan konektivitas data mereka.”

Tim Lookout hanya dapat mengamankan Hermit versi Android, tetapi sekarang, kontribusi Google telah menambahkan sampel iOS ke penyelidikan. Tidak ada sampel yang ditemukan di repositori resmi Google atau aplikasi Apple. Sebaliknya, spyware-sarat apps diunduh dari host pihak ketiga.

Sampel Android mengharuskan korban untuk mengunduh .APK setelah mengizinkan pemasangan ponsel apps dari sumber yang tidak diketahui. Malware tersebut menyamar sebagai aplikasi Samsung dan menggunakan Firebase sebagai bagian dari infrastruktur command-and-control (C2).

“Sementara APK itu sendiri tidak mengandung eksploit apa pun, kode tersebut mengisyaratkan adanya eksploit yang dapat diunduh dan dieksekusi,” kata para peneliti.

Google telah memberi tahu pengguna Android yang terkena dampak aplikasi dan membuat perubahan di Google Play Protect untuk melindungi pengguna dari aktivitas jahat aplikasi. Selain itu, proyek Firebase yang terkait dengan spyware telah dinonaktifkan.

Sampel iOS, yang ditandatangani dengan sertifikat yang diperoleh dari Program Perusahaan Pengembang Apple, berisi eksploitasi eskalasi hak istimewa yang dapat dipicu oleh enam kerentanan.

Sedangkan empat (CVE-2018-4344, CVE-2019-8605, CVE-2020-3837, CVE-2020-9907) diketahui, dua lainnya — CVE-2021-30883 dan CVE-2021-30983 — diduga dieksploitasi di alam liar sebagai zero-days sebelum Apple menambalnya pada Desember 2021. Pembuat iPad dan iPhone juga telah mencabut sertifikat yang terkait dengan kampanye Hermit.

Google dan Lookout mengatakan bahwa spyware kemungkinan disebabkan oleh RCS Lab, sebuah perusahaan Italia yang beroperasi sejak 1993. 

RCS Lab memberi tahu TechCrunch bahwa perusahaan “mengekspor produknya sesuai dengan aturan dan peraturan nasional dan Eropa,” dan “setiap penjualan atau penerapan produk dilakukan hanya setelah menerima otorisasi resmi dari otoritas yang berwenang.”

Sirkulasi Hermit hanya menyoroti masalah yang lebih luas: industri spyware dan pengawasan digital yang berkembang pesat.

Pekan lalu, Google bersaksi di sidang Komite Penyelidikan Parlemen Uni Eropa tentang penggunaan Pegasus dan spyware kelas komersial lainnya.

TAG saat ini melacak lebih dari 30 vendor yang menawarkan eksploitasi atau spyware ke entitas yang didukung pemerintah, dan menurut Charlie Snyder, Kepala Kebijakan Keamanan Siber di Google, meskipun penggunaannya mungkin legal, “mereka sering ditemukan digunakan oleh pemerintah untuk tujuan yang bertentangan dengan nilai-nilai demokrasi: menargetkan pembangkang, jurnalis, pekerja hak asasi manusia & politisi.”

“Itulah mengapa ketika Google menemukan aktivitas ini, kami tidak hanya mengambil langkah-langkah untuk melindungi pengguna, tetapi mengungkapkan informasi itu secara publik untuk meningkatkan kesadaran & membantu ekosistem,” komentar Snyder. 

Cakupan sebelumnya dan terkait

Punya tip? Hubungi dengan aman melalui WhatsApp | Sinyal di +447713 025 499, atau lebih di Keybase: charlie0