Pemerintah Italia Diduga Gelar Aksi Spionase Melalui Google Play Store
A
A
A
MILAN - Pada 3 April, para peneliti menemukan spyware yang tidak dikenal di Google Play Store resmi Google. Yang menarik, spyware ini tidak memiliki koneksi dengan National Security Agency (NSA), tapi sebaliknya memiliki hubungan dengan Pemerintah Italia yang membeli kamera pengintai.
Investigasi bersama oleh para peneliti di Motherboard dan Security Without Borders menemukan fakta ini adalah pertama kalinya seorang peneliti keamanan menemukan malware yang dihasilkan oleh perusahaan pengawas bernama eSurv. Menurut laporan teknis survei yang dirilis oleh Security Without Borders pada hari Jumat pekan lalu, ditemukan eSurv diunggah ke Google Play Store beberapa kali dalam dua tahun. Lalu diunggah kembali setelah beberapa bulan di Play Store.
Dilansir dari laman GSM Arena, Motherboard mengatakan, mereka awalnya menyimpulkan program jahat itu berasal dari Pemerintah Italia dan dibeli dari perusahaan yang menjual kamera pengintai. Inferensi berasal dari fragmen teks Italia yang ditemukan dalam kode di eSurv, seperti kata dialek “mundizza” dari Calabria, dan nama pemain sepak bola pensiunan terkenal RINO GATTUSO dari Calabria (ini adalah tempat eSurv berada).
eSurv memanggil malware, Exodus, setelah mengeluarkan perintah koneksi dan mengendalikan server. "Keluarannya" memiliki dua "wajah". Tampaknya berpura-pura menjadi aplikasi yang tidak berbahaya lalu melakukan layanan promosi dan pemasaran dari penyedia ponsel Italia lokal atau menyediakan fitur yang mengoptimalkan kinerja perangkat.
Pengumpulan data dilakukan secara rahasia. Lalu informasi yang dikumpulkan termasuk aplikasi yang diinstal pengguna, riwayat penelusuran, kontak, SMS, data lokasi, kata sandi WiFi, dan sebagainya. Informasi ini dikumpulkan, dikemas dan dikirim ke server kontrol, di mana dia dapat dengan mudah diambil oleh penangan server.
Yang lebih menakutkan adalah malware ini juga dapat mengaktifkan kamera dan mikrofon untuk menangkap audio dan video pemilik smartphone. Bahkan mengambil tangkapan layar aplikasi saat sedang digunakan.
Selain itu, mencakup fungsi yang disebut "CheckValidTarget" yang dikatakan untuk "memverifikasi" target infeksi baru. Lebih menarik lagi, kode Output tidak mengambil tindakan perlindungan. Ini berarti spyware membuka shell perintah jarak jauh pada ponsel yang terinfeksi, tapi tidak menggunakan enkripsi atau otentikasi apa pun. Dengan demikian siapa pun dengan perangkat yang terinfeksi di jaringan WiFi yang sama bisa meretasnya.
Misalnya, jika perangkat yang terinfeksi terhubung ke jaringan WiFi publik, host lain dapat dengan mudah terhubung ke port tanpa bentuk otentikasi. Dengan kata lain, spyware ini tidak hanya dapat mengintai data pengguna, tetapi juga dapat secara tidak langsung menyebabkan data dirusak.
Jejak Jahat Pada Google Play
Pada Januari 2018, peneliti Trend Micro menemukan 36 aplikasi berbahaya di Google Play. Beberapa bahkan digunakan sebagai alat keamanan.
Pada Februari 2018, Google mengumumkan penghapusan lebih dari 700.000 aplikasi buruk pada 2017. Mereka juga mencegah pengembang 100.000 aplikasi jahat berbagi malware.
Pada Mei 2018, SophosLabs menemukan bahwa beberapa aplikasi editor foto menyembunyikan malware di Google Play. Sedangkan di Desember, para peneliti Sophos kembali menemukan malware yang mengunduh file tanpa izin pengguna dan akhirnya menghabiskan ponsel pengguna. Akhirnya, 22 buah malware dihapus dari Google Play store.
Menyusul kemudian di Februari 2019, para peneliti menemukan sepotong malware yang disebut "clipper" di Google Play Store. Malware secara otomatis memotong konten clipboard dan menggantinya dengan konten yang ofensif.
Dalam kasus transaksi cryptocurrency, pengguna yang terkena akhirnya dapat mengalihkan alamat dompet yang disalin ke alamat penyerang. Jadi waspadalah terhadap malware di perangkat Anda dengan bijak dan teliti memilih aplikasi yang ingin di-download.
Investigasi bersama oleh para peneliti di Motherboard dan Security Without Borders menemukan fakta ini adalah pertama kalinya seorang peneliti keamanan menemukan malware yang dihasilkan oleh perusahaan pengawas bernama eSurv. Menurut laporan teknis survei yang dirilis oleh Security Without Borders pada hari Jumat pekan lalu, ditemukan eSurv diunggah ke Google Play Store beberapa kali dalam dua tahun. Lalu diunggah kembali setelah beberapa bulan di Play Store.
Dilansir dari laman GSM Arena, Motherboard mengatakan, mereka awalnya menyimpulkan program jahat itu berasal dari Pemerintah Italia dan dibeli dari perusahaan yang menjual kamera pengintai. Inferensi berasal dari fragmen teks Italia yang ditemukan dalam kode di eSurv, seperti kata dialek “mundizza” dari Calabria, dan nama pemain sepak bola pensiunan terkenal RINO GATTUSO dari Calabria (ini adalah tempat eSurv berada).
eSurv memanggil malware, Exodus, setelah mengeluarkan perintah koneksi dan mengendalikan server. "Keluarannya" memiliki dua "wajah". Tampaknya berpura-pura menjadi aplikasi yang tidak berbahaya lalu melakukan layanan promosi dan pemasaran dari penyedia ponsel Italia lokal atau menyediakan fitur yang mengoptimalkan kinerja perangkat.
Pengumpulan data dilakukan secara rahasia. Lalu informasi yang dikumpulkan termasuk aplikasi yang diinstal pengguna, riwayat penelusuran, kontak, SMS, data lokasi, kata sandi WiFi, dan sebagainya. Informasi ini dikumpulkan, dikemas dan dikirim ke server kontrol, di mana dia dapat dengan mudah diambil oleh penangan server.
Yang lebih menakutkan adalah malware ini juga dapat mengaktifkan kamera dan mikrofon untuk menangkap audio dan video pemilik smartphone. Bahkan mengambil tangkapan layar aplikasi saat sedang digunakan.
Selain itu, mencakup fungsi yang disebut "CheckValidTarget" yang dikatakan untuk "memverifikasi" target infeksi baru. Lebih menarik lagi, kode Output tidak mengambil tindakan perlindungan. Ini berarti spyware membuka shell perintah jarak jauh pada ponsel yang terinfeksi, tapi tidak menggunakan enkripsi atau otentikasi apa pun. Dengan demikian siapa pun dengan perangkat yang terinfeksi di jaringan WiFi yang sama bisa meretasnya.
Misalnya, jika perangkat yang terinfeksi terhubung ke jaringan WiFi publik, host lain dapat dengan mudah terhubung ke port tanpa bentuk otentikasi. Dengan kata lain, spyware ini tidak hanya dapat mengintai data pengguna, tetapi juga dapat secara tidak langsung menyebabkan data dirusak.
Jejak Jahat Pada Google Play
Pada Januari 2018, peneliti Trend Micro menemukan 36 aplikasi berbahaya di Google Play. Beberapa bahkan digunakan sebagai alat keamanan.
Pada Februari 2018, Google mengumumkan penghapusan lebih dari 700.000 aplikasi buruk pada 2017. Mereka juga mencegah pengembang 100.000 aplikasi jahat berbagi malware.
Pada Mei 2018, SophosLabs menemukan bahwa beberapa aplikasi editor foto menyembunyikan malware di Google Play. Sedangkan di Desember, para peneliti Sophos kembali menemukan malware yang mengunduh file tanpa izin pengguna dan akhirnya menghabiskan ponsel pengguna. Akhirnya, 22 buah malware dihapus dari Google Play store.
Menyusul kemudian di Februari 2019, para peneliti menemukan sepotong malware yang disebut "clipper" di Google Play Store. Malware secara otomatis memotong konten clipboard dan menggantinya dengan konten yang ofensif.
Dalam kasus transaksi cryptocurrency, pengguna yang terkena akhirnya dapat mengalihkan alamat dompet yang disalin ke alamat penyerang. Jadi waspadalah terhadap malware di perangkat Anda dengan bijak dan teliti memilih aplikasi yang ingin di-download.
(mim)