Cara Kerja Malware Spionase FinSpy
Kamis, 28 September 2017 - 22:27 WIB
Cara Kerja Malware Spionase FinSpy
A
A
A
JAKARTA - Dunia digital kembali dihebohkan dengan kehadiran Malware FinFisher atau FinSpy, spyware terkenal yang sering dijual ke pemerintah atau agensi-agensi di seluruh dunia sebagai alat pengintaian. Bagaimana cara kerja malware spionase ini?
Ketika pengguna yang menjadi target pengawasan ingin mengunduh salah satu dari beberapa aplikasi populer dan legitimate, aplikasi tersebut diarahkan ke versi aplikasi yang terinfeksi FinFisher.
"Aplikasi yang telah kita lihat disalahgunakan untuk menyebarkan FinFisher adalah WhatsApp, Skype, WinRAR, VLC Player dan beberapa lainnya. Penting untuk dicatat bahwa hampir semua aplikasi dapat disalahgunakan dengan cara ini," ujar Technical Consultant PT Prosperita – ESET Indonesia Yudhi Kukuh.
Dia menjelaskan serangan dimulai dengan pengguna mencari salah satu aplikasi yang terpengaruh di situs web yang sah. Setelah pengguna mengklik tautan unduhan, browser mereka dilayani dengan tautan yang dimodifikasi dan diarahkan ke paket pemasangan trojan yang diinangi di server pelaku. Saat diunduh dan dijalankan, aplikasi tidak hanya menginstal aplikasi yang sah, namun juga spyware FinFisher berjalan bersamaan dengannya.
Pengalihan dilakukan dengan tautan unduhan yang sah diganti dengan yang sudah terpapar FinSpy. Tautan jahat dikirim ke browser pengguna melalui HTTP 307. Kode respons status pengalihan sementara menunjukkan bahwa konten yang diminta telah dipindah sementara ke URL baru. Seluruh proses pengalihan terjadi tanpa sepengetahuan pengguna dan tidak terlihat oleh mata telanjang.
Secara teknis, kemungkinan posisi pelaku dalam serangan man-in-the-middle (MITM) ditempatkan di berbagai posisi di sepanjang rute komputer target ke server yang sah (misalnya hotspot Wi-Fi yang terganggu). Namun, penyebaran geografis deteksi ESET terhadap varian FinFisher terbaru menunjukkan bahwa serangan MitM terjadi pada tingkat yang lebih tinggi dan ISP muncul sebagai pilihan yang paling mungkin.
Asumsi ini didukung oleh sejumlah fakta; Pertama, menurut informasi internal yang telah diterbitkan oleh WikiLeaks, pembuat FinFisher menawarkan sebuah solusi yang disebut "FinFly ISP" untuk ditempatkan di jaringan ISP dengan kemampuan yang sesuai dengan yang diperlukan untuk melakukan hal tersebut.
Kedua, serangan MitM, teknik infeksi menggunakan HTTP 307 redirect dilaksanakan dengan cara yang sama di kedua negara yang terkena dampak, yang sangat tidak mungkin kecuali jika dikembangkan dan/atau disediakan oleh sumber yang sama.
Ketiga, semua target yang terkena dampak di suatu negara menggunakan ISP yang sama. Sehingga, metode dan format pengalihan yang sama telah digunakan untuk penyaringan konten internet oleh penyedia layanan internet di setidaknya satu dari negara-negara.
Ketika pengguna yang menjadi target pengawasan ingin mengunduh salah satu dari beberapa aplikasi populer dan legitimate, aplikasi tersebut diarahkan ke versi aplikasi yang terinfeksi FinFisher.
"Aplikasi yang telah kita lihat disalahgunakan untuk menyebarkan FinFisher adalah WhatsApp, Skype, WinRAR, VLC Player dan beberapa lainnya. Penting untuk dicatat bahwa hampir semua aplikasi dapat disalahgunakan dengan cara ini," ujar Technical Consultant PT Prosperita – ESET Indonesia Yudhi Kukuh.
Dia menjelaskan serangan dimulai dengan pengguna mencari salah satu aplikasi yang terpengaruh di situs web yang sah. Setelah pengguna mengklik tautan unduhan, browser mereka dilayani dengan tautan yang dimodifikasi dan diarahkan ke paket pemasangan trojan yang diinangi di server pelaku. Saat diunduh dan dijalankan, aplikasi tidak hanya menginstal aplikasi yang sah, namun juga spyware FinFisher berjalan bersamaan dengannya.
Pengalihan dilakukan dengan tautan unduhan yang sah diganti dengan yang sudah terpapar FinSpy. Tautan jahat dikirim ke browser pengguna melalui HTTP 307. Kode respons status pengalihan sementara menunjukkan bahwa konten yang diminta telah dipindah sementara ke URL baru. Seluruh proses pengalihan terjadi tanpa sepengetahuan pengguna dan tidak terlihat oleh mata telanjang.
Secara teknis, kemungkinan posisi pelaku dalam serangan man-in-the-middle (MITM) ditempatkan di berbagai posisi di sepanjang rute komputer target ke server yang sah (misalnya hotspot Wi-Fi yang terganggu). Namun, penyebaran geografis deteksi ESET terhadap varian FinFisher terbaru menunjukkan bahwa serangan MitM terjadi pada tingkat yang lebih tinggi dan ISP muncul sebagai pilihan yang paling mungkin.
Asumsi ini didukung oleh sejumlah fakta; Pertama, menurut informasi internal yang telah diterbitkan oleh WikiLeaks, pembuat FinFisher menawarkan sebuah solusi yang disebut "FinFly ISP" untuk ditempatkan di jaringan ISP dengan kemampuan yang sesuai dengan yang diperlukan untuk melakukan hal tersebut.
Kedua, serangan MitM, teknik infeksi menggunakan HTTP 307 redirect dilaksanakan dengan cara yang sama di kedua negara yang terkena dampak, yang sangat tidak mungkin kecuali jika dikembangkan dan/atau disediakan oleh sumber yang sama.
Ketiga, semua target yang terkena dampak di suatu negara menggunakan ISP yang sama. Sehingga, metode dan format pengalihan yang sama telah digunakan untuk penyaringan konten internet oleh penyedia layanan internet di setidaknya satu dari negara-negara.
(dmd)
