WahanaNews.co | Kampanye serangan software mata-mata canggih dilancarkan dengan bantuan internet service provider (ISP), buat menipu pengguna dan mengunduh aplikasi-aplikasi jahat.
Informasi ini diungkap melalui laporan yang dipublikasikan oleh Thread Analysis Group (TAG) Google.
Baca Juga:
Bisa Kuras Rekening, Pengguna Gmail Wajib Waspada jika Dapat Link Ini
Laporan yang dipublikasikan peneliti di Google ini memperkuat temuan sebelumnya dari kelompok riset keamanan Lookout. Saat itu, Lookout menghubungkan spyware Hermit ke vendor spyware Italia, RCS Labs.
Mengutip The Verge, Senin (27/6/2022), Lookout mengatakan, RCS Labs memiliki cara kerja yang sama dengan NSO Group.
NSO sendiri merupakan perusahaan Israel yang bergerak di bidang pengawasan dan mata-mata dengan produk terkenalnya spyware Pegasus. Pegasus ini dijual ke lembaga-lembaga pemerintah di seluruh dunia.
Baca Juga:
Incar Isi Rekening, Link Berbahaya di Gmail Kini Bisa Menyamar
Para peneliti di Lookout meyakini, Hermit telah dipakai oleh pemerintah Kazakhstan dan otoritas Italia untuk memata-matai korban mereka. Sejalan dengan temuan ini, Google mengidentifikasi korban di kedua negara.
Google dalam temuannya menyebut, akan memberi tahu para pengguna yang terdampak.
Spyware Hermit merupakan ancaman modular yang bisa mengunduh kemampuan tambahan dari server perintah dan kontrol.
Pada gilirannya, Hermit memungkinkan penyerang untuk mengakses catatan panggilan, lokasi, foto, hingga pesan teks di perangkat korban.
Hermit juga bisa merekam audio, membuat dan mencegat panggilan telepon, hingga melakukan root ke perangkat Android.
Hal ini pun membuat Hermit dan hacker-nya punya kontrol penuh atas sistem operasi inti di Android.
Spyware ini bisa menginfeksi Android dan iPhone dengan menyamar sebagai sumber yang sah, dalam bentuk pesan dari operator.
Peneliti keamanan siber di Google pun menemukan bahwa beberapa penyerang bisa menggunakan ISP untuk mematikan data seluler korban dan melanjutkan kejahatan mereka.
Para pelaku kemudian menyamar sebagai operator seluler korban melalui SMS dan menipu pengguna agar percaya bahwa unduhan aplikasi berbahaya akan memulihkan konektivitas internet mereka.
Jika penyerang tidak bisa menggunakan ISP, mereka akan menyamar sebagai aplikasi pesan yang tampak asli dengan tujuan menipu pengguna untuk mengunduh aplikasi.
Peneliti dari Lookout dan Google menyebut, aplikasi yang mengandung Hermit tidak pernah ada di Google Play atau App Store. Namun, penyerang bisa mendistribusikan aplikasi yang terinfeksi di iOS dengan mendaftar di Apple Developer Enterprise Program.
Hal tersebut akan memungkinkan penjahat siber untuk melewati proses pemeriksaan standar di Apple Store dan mendapatkan sertifikat yang "memenuhi semua persyaratan penandatanganan kode iOS pada perangkat iOS apa pun."
Menanggapi adanya spyware Hermit, Apple mengatakan pihaknya telah mencabut akun atau sertifikat yang terkait dengan ancaman tersebut.
Sementara, selain memberi tahu pengguna yang terdampak, Google menggulirkan pembaruan Google Play Protect ke semua pengguna. [qnt]