• icon021-84595695
  • iconsatsiber@mabestni.mil.id

Berita & Artikel

Berita Mil-CSIRT

Spyware Android 'Hermit' Digunakan di Suriah, Kazakhstan, dan Italia


2022-06-20


Milcsirt TNI - Sebuah laporan terbaru dari perusahaan keamanan siber Lookout menemukan bahwa organisasi yang beroperasi di Kazakhstan, Suriah, dan Italia menggunakan spyware kelas perusahaan yang kuat untuk membobol perangkat Android.

Peneliti Lookout memperoleh sampel dari apa yang mereka sebut "Hermit" - merek perangkat pengawasan yang mereka yakini dikembangkan oleh vendor spyware Italia RCS Lab S.p.A. dan perusahaan telekomunikasi Tykelab Srl.

Dalam sebuah laporan yang dirilis pada hari Kamis, perusahaan keamanan mengatakan spyware mampu menyembunyikan kemampuannya dalam paket yang diunduh setelah disebarkan, yang menurut para peneliti umumnya dilakukan melalui pesan teks SMS.

Lookout menambahkan bahwa para penelitinya dapat memperoleh dan menganalisis malware, yang “memungkinkan Hermit untuk mengeksploitasi perangkat yang di-rooting, merekam audio dan membuat dan mengalihkan panggilan telepon, serta mengumpulkan data seperti log panggilan, kontak, foto, lokasi perangkat dan pesan SMS.”

“Berdasarkan bagaimana Hermit dapat disesuaikan, termasuk kemampuan anti-analisisnya dan bahkan cara menangani data dengan hati-hati, jelas bahwa ini adalah alat dirancang untuk memberikan kemampuan pengawasan kepada pelanggan negara-bangsa,” kata Justin Albrecht, peneliti intelijen ancaman di Lookout.

Malware tersebut meniru aplikasi yang sah dan “menipu pengguna dengan menyajikan halaman web resmi dari merek yang ditirunya saat memulai aktivitas berbahaya di latar belakang.”

Malware ini juga memiliki beberapa fitur yang memungkinkan operator untuk mengotentikasi data yang dicuri dari perangkat korban.

Lookout mencatat bahwa spyware disorot dalam laporan anti-korupsi yang dirilis oleh parlemen Italia tahun lalu sebagai bagian dari penyelidikan penggunaannya oleh penegak hukum Italia pada 2019.

Perusahaan juga menemukan bukti bahwa itu digunakan untuk menargetkan orang-orang di Suriah utara dengan memalsukan "Jaringan Rojava" - outlet berita yang didedikasikan untuk orang-orang Kurdi yang tinggal di wilayah tersebut. Mereka juga menemukan sampel yang meniru produsen elektronik Cina, Oppo, serta yang lain yang memalsukan Samsung dan Vivo.

Paul Shunk, peneliti keamanan di Lookout, mengatakan kepada The Record bahwa beberapa sampel Hermit yang mereka periksa berisi konten umum yang berlaku untuk banyak pengguna dan yang lainnya "ditargetkan dengan sangat jelas."

“Desain keseluruhan dan kualitas kode malware menonjol dibandingkan dengan banyak sampel lain yang kami lihat. Jelas ini dikembangkan secara profesional oleh pembuat dengan pemahaman tentang praktik terbaik rekayasa perangkat lunak, ”kata Shunk.

“Di luar itu, tidak terlalu sering kami menemukan malware yang menganggapnya akan berhasil mengeksploitasi perangkat dan menggunakan izin root yang lebih tinggi.”

Dia menambahkan bahwa sampel yang mereka peroleh berasal dari VirusTotal dan tidak diperoleh dari perangkat yang terinfeksi.

Sampel yang dianalisis menggunakan situs web berbahasa Kazakh sebagai umpannya, menurut Shunk, yang menjelaskan bahwa server Command-and-control (C2) utama yang digunakan oleh aplikasi ini adalah proxy dan C2 yang sebenarnya dihosting di IP dari Kazakhstan.

“Kombinasi penargetan pengguna berbahasa Kazakh dan lokasi server backend C2 merupakan indikasi kuat bahwa kampanye tersebut dikendalikan oleh entitas di Kazakhstan,” jelas Shunk.

Laporan tersebut mengklaim bahwa “entitas pemerintah nasional kemungkinan berada di belakang kampanye” tetapi Shunk menegaskan bahwa “tidak ada bukti langsung untuk mengaitkan alamat IP dengan pemerintah Kazakh secara khusus.”

Dia mencatat bahwa sampel berasal dari April, hanya empat bulan setelah negara itu dilanda protes nasional. Pemerintah menutup internetnya sebagai bagian dari upaya untuk menghentikan protes yang dimulai pada Januari.

“Meskipun tidak ada bukti langsung untuk mengaitkan alamat IP dengan pemerintah Kazakh secara khusus, perusahaan penyadapan yang sah biasanya hanya menjual kepada pemerintah dan agensi mereka,” kata Shunk. “Mengingat penggunaan perusahaan telekomunikasi Kazakh untuk menjadi tuan rumah server komando dan kontrol untuk kampanye yang menargetkan Kazakh, ada kemungkinan bahwa agen pemerintah Kazakh berada di balik ini.”

Ada diskusi signifikan tentang penggunaan spyware oleh pemerintah minggu ini ketika kontraktor pertahanan AS L3Harris mengadakan pembicaraan untuk membeli NSO Group, sebuah perusahaan spyware yang memproduksi malware yang digunakan untuk melawan beberapa pemimpin dunia, jurnalis, dan pejabat hak asasi manusia.

Administrasi Biden mengatakan kepada The Washington Post pada hari Senin bahwa mereka sangat prihatin dengan potensi kesepakatan mengingat Departemen Perdagangan AS memberi sanksi kepada NSO Group dan tiga perusahaan keamanan siber lainnya pada November karena diduga menjual spyware dan alat peretasan lainnya kepada pemerintah yang represif.

Lookout mencatat bahwa RCS Lab memiliki hubungan dengan beberapa vendor spyware lain yang digunakan oleh sejumlah pemerintah di seluruh dunia.

Mike Parkin, insinyur teknis senior di Vulcan Cyber, mengatakan pengembang di balik Hermit dan alat kelas profesional lainnya seperti ini “memiliki sumber daya, dan dukungan, untuk mengembangkan dan menerapkan alat ini dengan dukungan diam-diam dari klien tingkat Negara Bagian mereka.”

“Terlepas dari siapa yang menggunakannya, atau agenda apa yang sedang mereka kerjakan, alat spyware kelas komersial ini dapat secara serius mengancam privasi pribadi orang-orang,” kata Parkin.[--rootgeek--]