Grup Analisis Ancaman (TAG) Google hari ini mengungkapkan bahwa RCS Labs, vendor spyware Italia, telah menerima bantuan dari beberapa penyedia layanan Internet (ISP) untuk menginfeksi pengguna Android dan iOS di Italia dan Kazakhstan dengan alat pengawasan komersial.
RCS Labs hanyalah salah satu dari lebih dari 30 vendor spyware yang aktivitasnya saat ini dilacak oleh Google, menurut analis Google TAG Benoit Sevens dan Clement Lecigne.
Selama serangan yang menggunakan drive-by-downloads untuk menginfeksi banyak korban, target diminta untuk menginstal aplikasi berbahaya (disamarkan sebagai aplikasi operator seluler yang sah) untuk kembali online setelah koneksi internet mereka terputus dengan bantuan ISP mereka.
Jika mereka tidak dapat langsung bekerja dengan ISP target mereka, penyerang akan menyamarkan aplikasi berbahaya sebagai aplikasi perpesanan.
Mereka mendorong mereka menggunakan halaman dukungan yang dibuat-buat yang diklaim dapat membantu calon korban memulihkan akun Facebook, Instagram, atau WhatsApp mereka yang ditangguhkan.
Namun, sementara tautan Facebook dan Instagram memungkinkan mereka untuk menginstal aplikasi resmi, ketika mengklik tautan WhatsApp, mereka akhirnya akan menginstal versi berbahaya dari aplikasi WhatsApp yang sah.
Google mengatakan aplikasi berbahaya yang disebarkan pada perangkat korban tidak tersedia di Apple App Store atau Google Play. Namun, penyerang mengesampingkan versi iOS (ditandatangani dengan sertifikat perusahaan) dan meminta target untuk mengaktifkan penginstalan aplikasi dari sumber yang tidak dikenal.
Aplikasi iOS yang terlihat dalam serangan ini datang dengan beberapa eksploitasi bawaan yang memungkinkannya untuk meningkatkan hak istimewa pada perangkat yang disusupi dan mencuri file.
Secara keseluruhan, ia menggabungkan enam eksploitasi berbeda:
- CVE-2018-4344 secara internal disebut dan dikenal publik sebagai LightSpeed.
- CVE-2019-8605 secara internal disebut sebagai SockPort2 dan secara publik dikenal sebagai SockPuppet
- CVE-2020-3837 secara internal disebut dan dikenal publik sebagai TimeWaste.
- CVE-2020-9907 secara internal disebut sebagai AveCesare.
- CVE-2021-30883 secara internal disebut sebagai Clicked2, ditandai sebagai dieksploitasi di alam liar oleh Apple pada Oktober 2021.
- CVE-2021-30983 secara internal disebut sebagai Clicked3, diperbaiki oleh Apple pada Desember 2021.
Di sisi lain, aplikasi Android berbahaya datang tanpa eksploitasi yang dibundel. Namun, itu menampilkan kemampuan yang memungkinkannya mengunduh dan menjalankan modul tambahan menggunakan DexClassLoader API.
Google telah memperingatkan korban Android bahwa perangkat mereka diretas dan terinfeksi spyware, yang dijuluki Hermit oleh peneliti keamanan di Lookout dalam analisis rinci implan ini yang diterbitkan minggu lalu.
Menurut Lookout, Hermit adalah “perangkat pengawasan modular” yang “dapat merekam audio dan membuat dan mengalihkan panggilan telepon, serta mengumpulkan data seperti log panggilan, kontak, foto, lokasi perangkat, dan pesan SMS.”
Google juga telah menonaktifkan proyek Firebase yang digunakan oleh pelaku ancaman untuk menyiapkan infrastruktur perintah-dan-kontrol untuk kampanye ini.
Pada bulan Mei, Google TAG mengekspos kampanye lain di mana aktor ancaman yang didukung negara menggunakan lima kelemahan keamanan zero-day untuk menginstal spyware Predator yang dikembangkan oleh pengembang pengawasan komersial Cytrox.
Sumber: Bleeping Computer
