Hermit, Spyware Berbahaya Bisa Curi Data Pengguna, Siapa Dalangnya?
Google menyebut hacker bekerja sama dengan ISP menyebarkan spyware Hermit.
REPUBLIKA.CO.ID, JAKARTA -- Pekan lalu, peneliti menemukan ada serangan spyware dari Italia bernama Hermit menyerang ponsel Android dan iOS. Menurut penelitian yang diterbitkan oleh Grup Analisis Ancaman (TAG) Google kampanye spyware canggih mendapatkan bantuan dari penyedia layanan internet (ISP) untuk mengelabui pengguna agar mengunduh aplikasi berbahaya.
Ini menguatkan temuan sebelumnya dari kelompok riset keamanan Lookout, yang telah menghubungkan spyware, yang dijuluki Hermit, ke vendor spyware Italia RCS Labs.
Lookout mengatakan RCS Lab berada di jalur yang sama dengan NSO Group, perusahaan Israel yang terkenal di balik spyware Pegasus dan menjajakan spyware komersial ke berbagai lembaga pemerintah. Para peneliti di Lookout percaya Hermit telah dikerahkan oleh pemerintah Kazakhstan dan otoritas Italia.
Sejalan dengan temuan ini, Google telah mengidentifikasi korban di kedua negara dan mengatakan akan memberi tahu pengguna yang terkena dampak.
Dilansir dari The Verge, Ahad (26/6/2022), seperti yang dijelaskan dalam laporan Lookout, Hermit adalah ancaman modular yang dapat mengunduh kemampuan tambahan dari server perintah dan kontrol (C2). Ini memungkinkan spyware untuk mengakses catatan panggilan, lokasi, foto, dan pesan teks di perangkat korban.
Hermit juga dapat merekam audio, membuat dan mencegat panggilan telepon, serta melakukan root ke perangkat Android, yang memberinya kontrol penuh atas sistem operasi intinya.
Spyware dapat menginfeksi Android dan iPhone dengan menyamar sebagai sumber yang sah, biasanya dalam bentuk operator seluler atau aplikasi perpesanan. Peneliti keamanan siber Google menemukan bahwa beberapa penyerang benar-benar bekerja dan ISP untuk mematikan data seluler korban untuk melanjutkan skema mereka.
Pelaku jahat kemudian akan menyamar sebagai operator seluler korban melalui SMS dan menipu pengguna agar percaya bahwa unduhan aplikasi berbahaya akan memulihkan konektivitas internet mereka. Jika penyerang tidak dapat bekerja dengan ISP, Google mengatakan mereka menyamar sebagai aplikasi perpesanan yang tampaknya asli yang menipu pengguna untuk mengunduh.
Peneliti dari Lookout dan TAG mengatakan aplikasi yang mengandung Hermit tidak pernah tersedia melalui Google Play atau Apple App Store. Namun, penyerang dapat mendistribusikan aplikasi yang terinfeksi di iOS dengan mendaftar di Program Perusahaan Pengembang Apple.
Cara ini memungkinkan aktor jahat untuk melewati proses pemeriksaan standar App Store dan mendapatkan sertifikat yang “memenuhi semua persyaratan penandatanganan kode iOS pada perangkat iOS apa pun.”
Apple mengatakan kepada The verge bahwa mereka telah mencabut akun atau sertifikat yang terkait dengan ancaman tersebut. Selain memberi tahu pengguna yang terpengaruh, Google juga telah mendorong pembaruan Google Play Protect ke semua pengguna.