Google Deteksi Perusahaan Spyware Italia Meretas Perangkat iOS dan Android
Sabtu, 25 Juni 2022 - 06:43 WIB
loading...
Grup Analisis Ancaman Google mengidentifikasi vendor Italia RCS Lab sebagai pelaku spyware, terhadap terhadap pengguna seluler iOS dan Android di Italia dan Kazakhstan. Foto/logique
A
A
A
ROMA - Grup Analisis Ancaman Google (Google's Threat Analysis Group/TAG) mengidentifikasi vendor Italia RCS Lab sebagai pelaku spyware, terhadap terhadap pengguna seluler iOS dan Android di Italia dan Kazakhstan. Spyware RCS Lab mengeksploitasi kerentanan zero-day yang diketahui untuk menginstal muatan berbahaya dan mencuri data pengguna pribadi.
Menurut posting blog Google pada hari Kamis 23 Juni 2022, RCS Lab menggunakan kombinasi taktik, termasuk unduhan drive-by yang tidak biasa sebagai vektor infeksi awal. “Perusahaan telah mengembangkan alat untuk memata-matai data pribadi dari perangkat yang ditargetkan,” keterangan dalam postingan itu dikutip SINDOnews dari laman computerworld, Sabtu (25/6/2022).
RCS Lab yang berbasis di Milan mengklaim memiliki afiliasi di Prancis dan Spanyol, dan telah mendaftarkan lembaga pemerintah Eropa sebagai kliennya di situs webnya. Perusahaan mengklaim untuk memberikan "solusi teknis mutakhir" di bidang intersepsi yang sah.
Baca juga; Jadi Target Penyadapan Spyware Pegasus, Macron Ganti Ponsel
Perusahaan tidak bersedia untuk komentar dan tidak menanggapi pertanyaan email. Dalam sebuah pernyataan kepada Reuters, RCS Lab mengatakan, “Personel RCS Lab tidak terpapar, atau berpartisipasi dalam aktivitas apa pun yang dilakukan oleh pelanggan terkait.”
Di situs webnya, perusahaan itu mengiklankan menawarkan "layanan penyadapan yang sah secara hukum, dengan lebih dari 10.000 target yang dicegat ditangani setiap hari di Eropa saja."
TAG Google, pada bagiannya, mengatakan telah mengamati kampanye spyware menggunakan kemampuan yang dikaitkan dengan RCS Lab. Aktivitas berasal dari tautan unik yang dikirim ke target, yang, ketika diklik, mencoba membuat pengguna mengunduh dan memasang aplikasi berbahaya di perangkat Android atau iOS.
“Ini tampaknya dilakukan, dalam beberapa kasus, dengan bekerja sama dengan ISP perangkat target untuk menonaktifkan konektivitas data seluler,” kata Google. Selanjutnya, pengguna menerima tautan unduhan aplikasi melalui SMS, seolah-olah untuk memulihkan konektivitas data.
Baca juga; 32 Juta Pengguna Google Chrome Terancam Serangan Spyware
Spyware merupakan suatu program yang terinstal pada sistem komputer. Program tersebut dapat mengumpulkan berbagai informasi seputar user dan akan mengirimkan informasi tersebut ke lokasi yang telah ditentukan sebelumnya.
Data-data tersebut dikirimkan kepada pihak luar tanpa sepengetahuan user. Spyware akan masuk kedalam komputer karena pengguna mendownload sebuah konten atau menginstal program dari situs yang tidak disarankan.
Didefinisikan sebagai unduhan yang diotorisasi pengguna tanpa memahami konsekuensinya, teknik "drive yang diotorisasi oleh" telah menjadi metode berulang yang digunakan untuk menginfeksi perangkat iOS dan Android.
Drive-by RCS iOS mengikuti instruksi Apple untuk mendistribusikan aplikasi internal milik sendiri ke perangkat Apple. Dia menggunakan protokol ITMS (IT management suite) dan menandatangani aplikasi pembawa muatan dengan sertifikat dari 3-1 Mobile, sebuah perusahaan yang berbasis di Italia yang terdaftar dalam program Apple Developer Enterprise.
Payload iOS dipecah menjadi beberapa bagian, memanfaatkan empat eksploit yang diketahui publik—LightSpeed, SockPuppet, TimeWaste, Avecesare—dan dua eksploit yang baru-baru ini diidentifikasi, yang secara internal dikenal sebagai Clicked2 dan Clicked 3.
Drive-by Android bergantung pada pengguna yang mengaktifkan pemasangan aplikasi yang menyamar sebagai aplikasi sah yang menampilkan ikon resmi Samsung. Untuk melindungi penggunanya, Google telah menerapkan perubahan di Google Play Protect dan menonaktifkan proyek Firebase yang digunakan sebagai C2.
Ini merupakan teknik perintah dan kontrol yang digunakan untuk komunikasi dengan perangkat yang terpengaruh. Selain itu, Google telah mendaftarkan beberapa indikator kompromi (IOC) di pos untuk memperingatkan korban Android.
Menurut posting blog Google pada hari Kamis 23 Juni 2022, RCS Lab menggunakan kombinasi taktik, termasuk unduhan drive-by yang tidak biasa sebagai vektor infeksi awal. “Perusahaan telah mengembangkan alat untuk memata-matai data pribadi dari perangkat yang ditargetkan,” keterangan dalam postingan itu dikutip SINDOnews dari laman computerworld, Sabtu (25/6/2022).
RCS Lab yang berbasis di Milan mengklaim memiliki afiliasi di Prancis dan Spanyol, dan telah mendaftarkan lembaga pemerintah Eropa sebagai kliennya di situs webnya. Perusahaan mengklaim untuk memberikan "solusi teknis mutakhir" di bidang intersepsi yang sah.
Baca juga; Jadi Target Penyadapan Spyware Pegasus, Macron Ganti Ponsel
Perusahaan tidak bersedia untuk komentar dan tidak menanggapi pertanyaan email. Dalam sebuah pernyataan kepada Reuters, RCS Lab mengatakan, “Personel RCS Lab tidak terpapar, atau berpartisipasi dalam aktivitas apa pun yang dilakukan oleh pelanggan terkait.”
Di situs webnya, perusahaan itu mengiklankan menawarkan "layanan penyadapan yang sah secara hukum, dengan lebih dari 10.000 target yang dicegat ditangani setiap hari di Eropa saja."
TAG Google, pada bagiannya, mengatakan telah mengamati kampanye spyware menggunakan kemampuan yang dikaitkan dengan RCS Lab. Aktivitas berasal dari tautan unik yang dikirim ke target, yang, ketika diklik, mencoba membuat pengguna mengunduh dan memasang aplikasi berbahaya di perangkat Android atau iOS.
“Ini tampaknya dilakukan, dalam beberapa kasus, dengan bekerja sama dengan ISP perangkat target untuk menonaktifkan konektivitas data seluler,” kata Google. Selanjutnya, pengguna menerima tautan unduhan aplikasi melalui SMS, seolah-olah untuk memulihkan konektivitas data.
Baca juga; 32 Juta Pengguna Google Chrome Terancam Serangan Spyware
Spyware merupakan suatu program yang terinstal pada sistem komputer. Program tersebut dapat mengumpulkan berbagai informasi seputar user dan akan mengirimkan informasi tersebut ke lokasi yang telah ditentukan sebelumnya.
Data-data tersebut dikirimkan kepada pihak luar tanpa sepengetahuan user. Spyware akan masuk kedalam komputer karena pengguna mendownload sebuah konten atau menginstal program dari situs yang tidak disarankan.
Didefinisikan sebagai unduhan yang diotorisasi pengguna tanpa memahami konsekuensinya, teknik "drive yang diotorisasi oleh" telah menjadi metode berulang yang digunakan untuk menginfeksi perangkat iOS dan Android.
Drive-by RCS iOS mengikuti instruksi Apple untuk mendistribusikan aplikasi internal milik sendiri ke perangkat Apple. Dia menggunakan protokol ITMS (IT management suite) dan menandatangani aplikasi pembawa muatan dengan sertifikat dari 3-1 Mobile, sebuah perusahaan yang berbasis di Italia yang terdaftar dalam program Apple Developer Enterprise.
Payload iOS dipecah menjadi beberapa bagian, memanfaatkan empat eksploit yang diketahui publik—LightSpeed, SockPuppet, TimeWaste, Avecesare—dan dua eksploit yang baru-baru ini diidentifikasi, yang secara internal dikenal sebagai Clicked2 dan Clicked 3.
Drive-by Android bergantung pada pengguna yang mengaktifkan pemasangan aplikasi yang menyamar sebagai aplikasi sah yang menampilkan ikon resmi Samsung. Untuk melindungi penggunanya, Google telah menerapkan perubahan di Google Play Protect dan menonaktifkan proyek Firebase yang digunakan sebagai C2.
Ini merupakan teknik perintah dan kontrol yang digunakan untuk komunikasi dengan perangkat yang terpengaruh. Selain itu, Google telah mendaftarkan beberapa indikator kompromi (IOC) di pos untuk memperingatkan korban Android.
(wib)
Lihat Juga :
