Video: 5 Penemuan Canggih yang Dirahasiakan oleh Amerika Serikat (Desember 2024)
Peneliti keamanan telah membedah dan menganalisis komponen seluler spyware komersial yang digunakan oleh pemerintah di seluruh dunia yang dapat digunakan untuk secara diam-diam merekam dan mencuri data dari perangkat seluler.
Dikembangkan oleh perusahaan Italia Tim Peretasan, modul seluler untuk Sistem Kontrol Jarak Jauh memungkinkan penegak hukum dan badan intelijen melakukan beragam tindakan pengawasan pada perangkat Android, iOS, Windows Mobile, dan BlackBerry, menurut peneliti dari Kaspersky Lab dan Citizen Lab di Munk School of Global Affairs di University of Toronto. Tim Peretas menjual RCS, juga dikenal sebagai Da Vinci dan Galileo, kepada pemerintah untuk memata-matai komputer desktop, laptop, dan perangkat seluler. Di beberapa negara, RCS digunakan untuk memata-matai para pembangkang politik, jurnalis, pembela hak asasi manusia, dan tokoh-tokoh politik yang berseberangan.
Kaspersky Lab dan peneliti Citizen Lab bersama-sama merekayasa balik modul ponsel, dan Citizen Lab Morgan Marquis-Boire dan Kaspersky's Sergey Golovanov mempresentasikan temuan mereka di sebuah acara pers di London Selasa.
"Itu adalah fakta yang terkenal selama beberapa waktu bahwa produk HackingTeam termasuk malware untuk ponsel. Namun, ini jarang terlihat, " tulis Golovanov di blog Securelist.
Apa yang Dapat Dilakukan RCS
Komponen iOS dan Android dapat mencatat penekanan tombol, mendapatkan data riwayat pencarian, dan memungkinkan pengumpulan rahasia email, pesan teks (bahkan yang dikirim dari aplikasi seperti WhatsApp), riwayat panggilan dan buku alamat. Mereka dapat mengambil screenshot layar korban, mengambil gambar dengan kamera ponsel, atau menghidupkan GPS untuk memantau lokasi korban. Mereka juga dapat menyalakan mikrofon untuk merekam telepon dan panggilan Skype serta percakapan yang terjadi di dekat perangkat.
"Mengaktifkan mikrofon secara diam-diam dan mengambil bidikan kamera biasa memberikan pengawasan konstan terhadap target - yang jauh lebih kuat daripada operasi jubah dan belati tradisional, " tulis Golovanov.
Komponen seluler dibuat khusus untuk setiap target, kata para peneliti. "Setelah sampel siap, penyerang mengirimkannya ke perangkat seluler korban. Beberapa vektor infeksi yang dikenal termasuk spearphishing melalui rekayasa sosial - sering digabungkan dengan eksploitasi, termasuk nol hari; dan infeksi lokal melalui kabel USB saat menyinkronkan ponsel perangkat, "kata Golovanov.
Lengan Panjang Pengawasan
RCS memiliki jangkauan global yang besar, dengan para peneliti menemukan mengidentifikasi 326 server di lebih dari 40 negara. Mayoritas server perintah di-host di Amerika Serikat, diikuti oleh Kazakhstan, Ekuador, Inggris, dan Kanada. Fakta bahwa server perintah berada di negara-negara itu tidak selalu berarti lembaga penegak hukum di negara-negara tersebut menggunakan RCS, kata para peneliti.
"Namun, masuk akal bagi pengguna RCS untuk menyebarkan C & C di lokasi yang mereka kontrol - di mana ada risiko minimal masalah hukum lintas batas atau penyitaan server, " kata Golovanov.
Temuan terbaru dibangun berdasarkan laporan sebelumnya dari Maret di mana para peneliti menemukan bahwa setidaknya 20 persen dari infrastruktur RCS terletak di dalam selusin pusat data di Amerika Serikat.
Bersembunyi di Stealth Mode
Peneliti Citizen Lab menemukan muatan Tim Peretasan di aplikasi Android yang tampaknya merupakan salinan Qatif Today, aplikasi berita berbahasa Arab. Taktik semacam ini, di mana muatan berbahaya disuntikkan ke dalam salinan aplikasi yang sah, cukup umum di dunia Android. Payload mencoba untuk mengeksploitasi kerentanan dalam versi lama dari sistem operasi Android untuk mendapatkan akses root pada perangkat.
"Meskipun eksploitasi ini tidak akan efektif terhadap versi terbaru dari sistem operasi Android, sebagian besar pengguna masih menggunakan versi lama yang mungkin rentan, " tulis peneliti Citizen Lab dalam sebuah posting blog.
Baik modul Android dan iOS menggunakan teknik-teknik canggih untuk menghindari menguras baterai ponsel, membatasi ketika melakukan tugas-tugas tertentu untuk kondisi tertentu, dan beroperasi secara diam-diam sehingga korban tetap tidak sadar. Sebagai contoh, mikrofon mungkin dihidupkan dan rekaman audio dibuat hanya ketika korban terhubung ke jaringan WiFi tertentu, kata Golovanov.
Para peneliti menemukan modul iOS hanya memengaruhi perangkat yang sudah di-jailbreak. Namun, jika perangkat iOS terhubung ke komputer yang terinfeksi versi desktop atau laptop dari perangkat lunak tersebut, malware tersebut dapat menjalankan alat jailbreak dari jarak jauh seperti Evasi0n untuk memuat modul berbahaya. Semua ini akan dilakukan tanpa sepengetahuan korban.
Citizen Lab juga menerima salinan apa yang tampak sebagai manual pengguna Tim Peretasan dari sumber anonim. Dokumen tersebut menjelaskan dengan sangat rinci bagaimana membangun infrastruktur pengawasan untuk mengirimkan muatan berbahaya kepada para korban, bagaimana mengelola data intelijen yang diambil dari perangkat korban, dan bahkan cara mendapatkan sertifikat penandatanganan kode.
Misalnya, manual menyarankan menggunakan Verisign, Thawte, dan GoDaddy untuk sertifikat. Penyerang diinstruksikan untuk membeli "Sertifikat Pengembang" langsung dari TrustCenter jika target akan menggunakan perangkat Symbian, dan untuk mendaftar akun Microsoft dan akun Windows Phone Dev Center untuk menginfeksi Windows Phone.
Asumsi di balik perangkat lunak pengawasan semacam ini adalah bahwa pembeli akan menggunakan alat-alat ini terutama untuk tujuan penegakan hukum dan bahwa unsur-unsur kriminal tidak akan memiliki akses ke mereka. Namun, fakta bahwa ini tersedia berarti mereka dapat digunakan terhadap target bermotivasi politik, yang memiliki beberapa implikasi serius bagi keamanan dan privasi secara keseluruhan.