ISP Membantu Peretas Menginfeksi Ponsel Cerdas dengan Spyware Hermit

ISP Membantu Peretas Menginfeksi Ponsel Cerdas dengan Spyware Hermit
ISP Membantu Peretas Menginfeksi Ponsel Cerdas dengan Spyware Hermit
ISP Membantu Peretas

Dilaporkan oleh Google Threat Analysis Group (TAG) bahwa spyware yang sangat canggih yang dikenal sebagai Hermit telah ditemukan. Ada beberapa ISP yang telah mendukung distribusi spyware Hermit yang dikirim oleh RCS Labs, penyedia spyware Italia.

Itu didistribusikan melalui penggunaan alat pengawasan yang tersedia secara komersial di ponsel di Kazakhstan dan Italia untuk mendistribusikan spyware ini untuk digunakan pada perangkat iOS dan Android.

Namun, analis keamanan siber di TAG, Benoit Sevens, dan Clement Lecigne menyatakan:-

“Untuk melindungi keamanan semua pengguna Google Play Protect, semua perubahan yang sesuai dan diperlukan telah diterapkan.”

Kemampuan Hermit

Aplikasi Hermit mampu mencuri data sensitif dari smartphone target, dan juga memiliki fitur modular. Sementara karena modularitasnya, spyware dapat sepenuhnya disesuaikan agar sesuai dengan kebutuhan spesifik apa pun.

Berikut adalah kemampuan utama yang ditawarkan atau dapat dicuri oleh Hermit dan melacak perangkat target untuk data berikut: –

  • Lokasi
  • Kontak
  • Log panggilan
  • pesan SMS
  • Suara rekaman
  • Lakukan panggilan telepon
  • Alihkan panggilan telepon
  • Ubah izin layanan aksesibilitas

Rantai infeksi

Ini menunjukkan bahwa pelaku ancaman mungkin tidak selalu bergantung pada eksploitasi untuk mendapatkan akses ekstensif ke perangkat, karena kampanye ini terutama menggunakan unduhan drive-by-untuk mendapatkan akses ke perangkat yang ditargetkan.

Mereka kemungkinan besar akan mencapai tujuan jahat mereka jika mereka mendapat bantuan dari ISP, yang menggunakan drive-by-downloads dan metode lainnya.

ISP menyediakan penyerang dengan dukungan yang mereka butuhkan untuk mengganggu koneksi internet korban mereka. Sejumlah target tertentu memiliki koneksi data seluler yang dinonaktifkan oleh penyedia layanan Internet mereka.

Melalui pesan SMS yang berisi URL, aplikasi jahat kemudian diminta untuk diinstal untuk memulihkan akses mereka ke Internet. Melalui penginstalan aplikasi berbahaya ini, korban akan dapat terhubung kembali ke Internet.

Dalam kampanye ini, ISP digunakan untuk menutupi aplikasi sebagai aplikasi operator seluler yang sah. Dan di sini penyerang menyematkan spyware di aplikasi perpesanan yang disamarkan sebagai perangkat lunak anti-spam jika ISP target tidak dapat dipengaruhi secara langsung.

Pelaku ancaman mengarahkan klien ke situs web palsu, di mana mereka berjanji untuk membantu pengguna memulihkan akun media sosial mereka yang dibekukan atau ditangguhkan. Sementara situs web palsu menyertakan klon untuk portal media sosial berikut: –

  • Facebook
  • Instagram
  • Ada apa

Menginstal aplikasi resmi melalui tautan yang disediakan oleh media sosial dimungkinkan. Namun, korban dibawa ke WhatsApp versi palsu dengan mengklik tautan WhatsApp.

Eksploitasi yang digunakan

Aplikasi berbahaya yang digunakan oleh pelaku ancaman tidak dapat diakses melalui Google Play atau Apple App Store. Di sini, sertifikat perusahaan yang ditandatangani oleh pelaku ancaman mengizinkan sideload versi iOS.

Selain itu, pelaku ancaman telah menggunakan 6 eksploitasi dalam kampanye ini, dan di sini disebutkan di bawah ini:-

  • CVE-2021-30883 (Diklik2)
  • CVE-2021-30983 (Diklik3)
  • CVE-2020-9907 (AveCesare)
  • CVE-2020-3837 (Pemborosan Waktu)
  • CVE-2018-4344 (Kecepatan Ringan)
  • CVE-2019-8605 (SockPort2/SockPuppet)

Pendekatan yang komprehensif dan kuat akan diperlukan untuk mencegah bahaya yang disebabkan oleh praktik industri pengawasan komersial. Pendekatan yang komprehensif dan kuat akan membutuhkan kolaborasi di antara lembaga-lembaga berikut:-

  • Tim intelijen ancaman
  • Pembela jaringan
  • Peneliti akademis
  • pemerintah
  • Platform teknologi

Anda dapat mengikuti kami di Linkedin, Twitter, Facebook untuk pembaruan Cybersecurity harian.

Pos terkait