adminPeneliti keamanan di Lookout baru-baru ini mengikat spyware seluler Android yang sebelumnya tidak memiliki atribut, dijuluki Hermit, ke rumah perangkat lunak Italia RCS Lab. Sekarang, peneliti ancaman Google telah mengonfirmasi banyak temuan Lookout dan memberi tahu pengguna Android yang perangkatnya disusupi oleh spyware.
Hermit adalah spyware komersial yang diketahui digunakan oleh pemerintah, dengan korban di Kazakhstan dan Italia, menurut Lookout dan Google. Lookout mengatakan itu juga melihat spyware dikerahkan di Suriah utara. Spyware menggunakan berbagai modul, yang diunduh dari server perintah dan kontrolnya sesuai kebutuhan, untuk mengumpulkan log panggilan, merekam audio sekitar, mengalihkan panggilan telepon, dan mengumpulkan foto, pesan, email, dan lokasi persis perangkat dari perangkat korban. Lookout mengatakan dalam analisisnya bahwa Hermit, yang bekerja pada semua versi Android, juga mencoba melakukan root pada perangkat Android yang terinfeksi, memberikan spyware akses yang lebih dalam ke data korban.
Lookout mengatakan bahwa korban yang ditargetkan dikirimi tautan berbahaya melalui pesan teks dan tertipu untuk mengunduh dan menginstal aplikasi berbahaya – yang menyamar sebagai aplikasi telekomunikasi atau perpesanan bermerek yang sah – dari luar app store.
Menurut posting blog baru yang diterbitkan Kamis dan dibagikan dengan TechCrunch sebelum publikasi, Google mengatakan menemukan bukti bahwa dalam beberapa kasus aktor pemerintah yang mengendalikan spyware bekerja dengan penyedia internet target untuk memotong konektivitas data seluler mereka, kemungkinan sebagai a iming-iming untuk mengelabui target agar mengunduh aplikasi bertema telco dengan kedok memulihkan konektivitas.
Google juga menganalisis sampel spyware Hermit yang menargetkan iPhone, yang menurut Lookout sebelumnya tidak dapat diperoleh. Menurut temuan Google, aplikasi iOS Hermit — yang menyalahgunakan sertifikat pengembang perusahaan Apple yang memungkinkan spyware untuk dipindahkan ke perangkat korban dari luar app store — dikemas dengan enam eksploit berbeda, dua di antaranya belum pernah terlihat sebelumnya. — atau zero-days — pada saat penemuan mereka. Salah satu kerentanan zero-day diketahui Apple telah dieksploitasi secara aktif sebelum diperbaiki.
Baik versi Android maupun iOS dari spyware Hermit tidak ditemukan di toko aplikasi, menurut kedua perusahaan. Google mengatakan telah “memberi tahu pengguna Android tentang perangkat yang terinfeksi,” dan telah memperbarui Google Play Protect, pemindai keamanan aplikasi bawaan Android, untuk memblokir aplikasi agar tidak berjalan. Google mengatakan juga mencabut akun Firebase spyware, yang digunakan spyware untuk berkomunikasi dengan servernya.
Google tidak mengatakan berapa banyak pengguna Android yang diberitahukan.
Juru bicara Apple Trevor Kincaid mengatakan kepada TechCrunch bahwa Apple telah mencabut semua akun dan sertifikat yang diketahui terkait dengan kampanye spyware ini.
Hermit adalah spyware tingkat pemerintah terbaru yang diketahui digunakan oleh lembaga negara. Meskipun tidak diketahui siapa yang menjadi sasaran pemerintah menggunakan Hermit, spyware seluler serupa yang dikembangkan oleh perusahaan peretasan, seperti NSO Group dan Candiru, telah dikaitkan dengan pengawasan jurnalis, aktivis, dan pembela hak asasi manusia.
Saat dimintai komentar, RCS Lab memberikan pernyataan tanpa atribut, yang sebagian berbunyi:
RCS Lab mengekspor produknya sesuai dengan peraturan dan regulasi nasional dan Eropa. Setiap penjualan atau implementasi produk dilakukan hanya setelah menerima otorisasi resmi dari otoritas yang berwenang. Produk kami dikirim dan dipasang di tempat pelanggan yang disetujui. Personel Lab RCS tidak terpapar, atau berpartisipasi dalam aktivitas apa pun yang dilakukan oleh pelanggan terkait.
Anda dapat menghubungi reporter ini di Signal dan WhatsApp di +1 646-755-8849 atau [email protected] melalui email.
