Kaspersky Temukan Malware di Android dan iOS

Jakarta - Kaspersky Lab merilis laporan penelitian baru yang memetakan infrastruktur internasional masif yang digunakan untuk mengontrol implan malware 'Remote Control System' (RCS), dan mengidentifikasi Trojan mobile yang belum dikenal yang bisa menyerang Android dan iOS. Modul ini adalah bagian dari apa yang disebut sebagai tools spyware 'legal', yaitu RCS alias Galileo, yang dikembangkan oleh perusahaan Italia, Hacking Team.

Daftar korban dalam penelitian yang dilakukan Kaspersky Lab bersama Citizen Lab, termasuk aktivis dan pembela hak asasi manusia, serta wartawan dan politisi.

Kaspersky Lab telah melakukan berbagai pendekatan keamanan yang berbeda untuk menemukan server command and control (C&C) Galileo di seluruh dunia.

Dalam analisis terbaru, para peneliti Kaspersky Lab mampu memetakan keberadaan lebih dari 320 server C&C RCS di lebih dari 40 negara. Mayoritas server tersebut berada di Amerika Serikat, Kazakhstan, Ekuador, Inggris dan Kanada.

Sergey Golovanov, Principal Security Researcher Kaspersky Lab, menyatakan, keberadaaan server ini di suatu negara tidak berarti mereka digunakan oleh penegak hukum di negara tersebut.

"Namun, masuk akal bagi para pengguna RCS untuk mengoperasikan server C&C di lokasi yang mereka kontrol-karena di tempat tersebut masalah hukum antar negara dan penyitaan server risikonya kecil," kata Golovanov dalam siaran pers, Rabu (2/7).

Meskipun sebelumnya telah diketahui bahwa mobile Trojan untuk iOS dan Android dari Hacking Team memang ada, sebelumnya belum ada yang benar-benar bisa mengidentifikasi, atau mengetahui penggunaannya dalam serangan.

Para ahli Kaspersky Lab telah meneliti malware RCS selama dua tahun. Awal tahun ini mereka mampu mengidentifikasi sampel tertentu dari modul mobile yang sama dengan profil konfigurasi malware RCS lainnya dalam koleksi mereka.

Dalam penelitian terbaru, varian baru sampel juga didapat dari korban melalui jaringan KSN Kaspersky Lab yang awan. Selain itu, para ahli Kaspersky Lab juga bekerja sama dengan Morgan Marquis-Boire dari Citizen Lab, yang meneliti kumpulan malware HackingTeam secara ekstensif.

Dalang di belakang Galileo RCS membangun implan berbahaya spesifik untuk target yang jelas. Begitu sampel siap, penyerang mengirimkannya ke perangkat mobile korban.

Beberapa vektor penginfeksian yang diketahui, termasuk spearphishing melalui rekayasa sosial, yang sering digabungkan dengan eksploitasi, termasuk eksploitasi zero-day, dan penginfeksian lokal melalui kabel USB ketika sinkronisasi perangkat mobile.

Menginfeksi iPhone

Salah satu temuan terbesar adalah mempelajari secara tepat bagaimana Trojan mobile Galileo menginfeksi iPhone. Untuk melakukan hal ini, perangkat perlu di-jailbreake. Namun, iPhone yang tidak di-jailbreake juga bisa rentan.

Pelaku bisa menjalankan tools jailbreaking, seperti 'Evasi0n' melalui komputer yang terinfeksi dan melakukan jailbreaking dari jarak jauh, lalu melakukan penginfeksian. Untuk menghindari risiko penginfeksian, para ahli Kaspersky Lab menganjurkan untuk tidak men-jailbreake iPhone-nya, dan selalu update iOS pada perangkat ke versi terbaru.

Modul mobile RCS dirancang secara cermat untuk beroperasi secara hati-hati, termasuk memperhatikan secara seksama umur baterai perangkat mobile.

Hal ini diimplementasikan melalui kemampuan memata-matai yang disesuaikan secara hati-hati, atau melalui pemicu khusus. Misalnya, rekaman audio hanya akan aktif ketika korban terhubung ke jaringan Wi-Fi tertentu (misalnya, jaringan media), atau ketika mengubah kartu SIM, atau saat perangkat sedang diisi ulang (charging).

Secara umum, Trojan mobile RCS mampu melakukan berbagai macam fungsi pengintaian, termasuk melaporkan lokasi target, mengambil foto, menyalin acara dari kalender, mendaftarkan kartu SIM baru yang dimasukkan ke dalam perangkat yang terinfeksi, dan mengintersepsi panggilan telepon dan pesan, termasuk pesan yang dikirim dari aplikasi tertentu seperti Viber, WhatsApp dan Skype, di samping teks SMS biasa.