TEMPO.CO, Jakarta - Grup Analisis Ancaman (TAG) Google dan tim analisis kerentanan Project Zero menerbitkan temuan tentang versi iOS dari spyware yang dikaitkan dengan developer di Italia, RCS Labs, pada Kamis, 23 Juni 2022. Di dalam temuannya itu peneliti Google mengatakan pada awalnya mendeteksi adanya korban spyware di Italia dan Kazakhstan pada perangkat Android dan iOS.

Pekan lalu, perusahaan keamanan Lookout juga menerbitkan temuan tentang spyware versi Android, yang disebutnya "Hermit", dan juga dikaitkan dengan RCS Labs. Lookout menyebut kalau pejabat Italia menggunakan spyware selama penyelidikan anti-korupsi 2019. Selain korban yang berlokasi di Italia dan Kazakhstan, Lookout juga menemukan data yang menunjukkan bahwa entitas tak dikenal menggunakan spyware untuk menarget di kawasan timur laut Suriah.

“Google telah melacak aktivitas vendor spyware komersial selama bertahun-tahun, dan saat itu kami telah melihat industrinya berkembang pesat dari beberapa vendor ke seluruh ekosistem,” kata analis keamanan TAG, Clement Lecigne.

Menurutnya, vendor yang dimaksud memungkinkan proliferasi alat peretasan yang berbahaya, mempersenjatai pemerintahan, yang menurut Lecigne, tidak akan dapat mengembangkan kemampuan tersebut secara internal. "Hanya sedikit atau bahkan tidak ada transparansi dalam industri ini, itulah mengapa sangat penting untuk berbagi informasi tentang vendor ini dan kemampuan mereka,” kata dia.

TAG menyatakan tengah melacak lebih dari 30 pembuat spyware yang menawarkan berbagai kemampuan teknis dan tingkat kecanggihan kepada klien yang didukung pemerintahan. Dalam analisisnya terhadap versi iOS, mereka menemukan bahwa penyerang mendistribusikan spyware menggunakan aplikasi palsu My Vodafone milik operator seluler internasional yang populer.

Dalam serangan Android dan iOS pada umumnya, penyerang mungkin hanya menipu target untuk mengunduh apa yang tampak seperti aplikasi perpesanan. Caranya dengan mendistribusikan tautan berbahaya untuk diklik oleh korban.

Tetapi, dalam beberapa kasus penargetan iOS yang sangat dramatis, Google menemukan bahwa penyerang mungkin telah bekerja dengan ISP lokal untuk memutus koneksi data seluler pengguna tertentu. Korban lalu dikirimi tautan unduhan berbahaya melalui SMS, dan meyakinkan mereka untuk menginstal aplikasi My Vodafone palsu melalui Wi-Fi dengan janji itu akan memulihkan layanan seluler mereka.

Kemudian, penyerang dapat mendistribusikan aplikasi berbahaya karena RCS Labs telah terdaftar di Program Pengembang Perusahaan Apple. Tampaknya RCS Labs datang melalui perusahaan cangkang bernama 3-1 Mobile SRL, untuk mendapatkan sertifikat yang memungkinkan mereka sideload aplikasi tanpa melalui proses peninjauan AppStore khas Apple.

Apple menjelaskan bahwa semua akun dan sertifikat yang diketahui terkait dengan kampanye spyware telah dicabut. Berdasarkan laporan Apple Oktober lalu tentang sideloading, sertifikat perusahaan yang dimaksud sejatinya hanya untuk penggunaan internal perusahaan, dan tidak untuk distribusi aplikasi umum karena, iya benar, dapat digunakan untuk menghindari perlindungan App Store dan iOS.

“Meskipun program ini memiliki kontrol ketat dan skala terbatas, pelaku kejahatan telah menemukan cara tidak sah untuk mengaksesnya, misalnya dengan membeli sertifikat perusahaan di pasar gelap,” bunyi penjelasan Apple.

WIRED

Baca juga:
Tim Peneliti Google Ungkap Teknik Spyware Pegasus Menginfeksi iPhone