Seminggu setelah muncul bahwa spyware seluler canggih yang dijuluki Hermit digunakan oleh pemerintah Kazakhstan di dalam perbatasannya, Google mengatakan telah memberi tahu pengguna Android tentang perangkat yang terinfeksi.
Selain itu, perubahan yang diperlukan telah diterapkan di Google Play Protect — layanan pertahanan malware bawaan Android — untuk melindungi semua pengguna, kata Benoit Sevens dan Clement Lecigne dari Google Threat Analysis Group (TAG) dalam laporan hari Kamis.
Hermit, karya vendor Italia bernama RCS Lab, didokumentasikan oleh Lookout minggu lalu, memanggil set fitur modular dan kemampuannya untuk memanen informasi sensitif seperti log panggilan, kontak, foto, lokasi tepat, dan pesan SMS.
Setelah ancaman benar-benar menyusup ke dalam perangkat, itu juga dilengkapi untuk merekam audio dan membuat dan mengalihkan panggilan telepon, selain menyalahgunakan izinnya ke layanan aksesibilitas untuk mengawasi aplikasi latar depan yang digunakan oleh para korban.
Modularitasnya juga memungkinkannya untuk sepenuhnya dapat disesuaikan, melengkapi fungsionalitas spyware untuk diperluas atau diubah sesuka hati. Tidak segera jelas siapa yang menjadi target dalam kampanye, atau klien RCS Lab mana yang terlibat.
Perusahaan yang berbasis di Milan, yang beroperasi sejak 1993, mengklaim menyediakan “lembaga penegak hukum di seluruh dunia dengan solusi teknologi mutakhir dan dukungan teknis di bidang intersepsi yang sah selama lebih dari dua puluh tahun.” Lebih dari 10.000 target yang dicegat konon akan ditangani setiap hari di Eropa saja.
“Hermit adalah contoh lain dari senjata digital yang digunakan untuk menargetkan warga sipil dan perangkat seluler mereka, dan data yang dikumpulkan oleh pihak jahat yang terlibat pasti akan sangat berharga,” Richard Melick, direktur pelaporan ancaman untuk Zimperium, mengatakan.
Ponsel target terinfeksi dengan alat mata-mata melalui unduhan drive-by sebagai vektor infeksi awal, yang, pada gilirannya, memerlukan pengiriman tautan unik dalam pesan SMS yang, setelah mengklik, mengaktifkan rantai serangan.
Diduga pelaku bekerja sama dengan penyedia layanan internet (ISP) target untuk menonaktifkan konektivitas data seluler mereka, diikuti dengan mengirim SMS yang mendesak penerima untuk menginstal aplikasi untuk memulihkan akses data seluler.
“Kami percaya ini adalah alasan mengapa sebagian besar aplikasi menyamar sebagai aplikasi operator seluler,” kata para peneliti. “Ketika keterlibatan ISP tidak memungkinkan, aplikasi disamarkan sebagai aplikasi perpesanan.”
Untuk mengkompromikan pengguna iOS, musuh dikatakan telah mengandalkan profil penyediaan yang memungkinkan aplikasi bermerek operator palsu untuk dipindahkan ke perangkat tanpa perlu tersedia di App Store.
Analisis versi iOS aplikasi menunjukkan bahwa itu memanfaatkan sebanyak enam eksploitasi — CVE-2018-4344, CVE-2019-8605, CVE-2020-3837, CVE-2020-9907, CVE-2021-30883, dan CVE-2021-30983 — untuk mengekstrak file yang diinginkan, seperti database WhatsApp, dari perangkat.
“Ketika kurva perlahan bergeser ke eksploitasi korupsi memori yang semakin mahal, penyerang kemungkinan juga bergeser,” kata Ian Beer dari Google Project Zero dalam analisis mendalam tentang artefak iOS yang meniru aplikasi operator My Vodafone.
Di Android, serangan drive-by mengharuskan korban mengaktifkan pengaturan untuk menginstal aplikasi pihak ketiga dari sumber yang tidak dikenal, hal itu menyebabkan aplikasi jahat, menyamar sebagai merek smartphone seperti Samsung, meminta izin ekstensif untuk mencapai tujuan jahatnya.
Varian Android, selain mencoba me-root perangkat untuk akses yang sudah ada, juga ditransfer secara berbeda karena alih-alih menggabungkan eksploitasi dalam file APK, varian ini berisi fungsionalitas yang memungkinkannya mengambil dan mengeksekusi komponen jarak jauh arbitrer yang dapat berkomunikasi dengan aplikasi utama.
“Kampanye ini adalah pengingat yang baik bahwa penyerang tidak selalu menggunakan eksploitasi untuk mendapatkan izin yang mereka butuhkan,” catat para peneliti. “Vektor infeksi dasar dan drive dengan unduhan masih berfungsi dan bisa sangat efisien dengan bantuan dari ISP lokal.”
Menyatakan bahwa tujuh dari sembilan eksploitasi zero-day yang ditemukan pada tahun 2021 dikembangkan oleh penyedia komersial dan dijual kepada dan digunakan oleh aktor yang didukung pemerintah, raksasa teknologi itu mengatakan sedang melacak lebih dari 30 vendor dengan berbagai tingkat kecanggihan yang dikenal berdagang. eksploitasi dan kemampuan pengawasan.
Terlebih lagi, Google TAG mengangkat kekhawatiran bahwa vendor seperti RCS Lab “menimbun kerentanan zero-day secara rahasia” dan memperingatkan bahwa ini menimbulkan risiko yang parah mengingat sejumlah vendor spyware telah dikompromikan selama sepuluh tahun terakhir, “meningkatkan momok bahwa mereka persediaan dapat dilepaskan secara terbuka tanpa peringatan.”
“Temuan kami menggarisbawahi sejauh mana vendor pengawasan komersial memiliki kemampuan yang berkembang biak secara historis hanya digunakan oleh pemerintah dengan keahlian teknis untuk mengembangkan dan mengoperasionalkan eksploitasi,” kata TAG.
“Meskipun penggunaan teknologi pengawasan mungkin legal di bawah hukum nasional atau internasional, mereka sering ditemukan digunakan oleh pemerintah untuk tujuan yang bertentangan dengan nilai-nilai demokrasi: menargetkan pembangkang, jurnalis, pekerja hak asasi manusia, dan politisi partai oposisi.”