JUL 02, 2014@17:30 WIB | 1,277 Views
Kaspersky Lab merilis laporan penelitian baru yang memetakan infrastruktur internasional masif yang digunakan untuk mengontrol implan malware 'Remote Control System' (RCS), dan mengidentifikasi Trojan mobile yang belum dikenal yang bisa menyerang Android dan iOS. Modul ini adalah bagian dari apa yang disebut sebagai tools spyware 'legal', yaitu RCS alias Galileo, yang dikembangkan oleh perusahaan Italia, Hacking Team.
Daftar korban dalam penelitian di atas, yang dilakukan oleh Kaspersky Lab bersama dengan Citizen Lab, termasuk
aktivis dan pembela hak asasi manusia, serta wartawan dan politisi.
Infrastruktur RCS
Kaspersky Lab telah melakukan berbagai pendekatan keamanan yang berbeda untuk menemukan server command and control (C&C) Galileo di seluruh dunia. Untuk proses identifikasi, para ahli Kaspersky Lab mengandalkan indikator khusus dan data konektivitas yang diperoleh dengan membalik rekayasa (reverse engineering) sampel yang ada.
Dalam analisis terbaru, para peneliti Kaspersky Lab mampu memetakan keberadaan lebih dari 320 server C&C RCS di lebih dari 40 negara. Mayoritas server tersebut berada di Amerika Serikat, Kazakhstan, Ekuador, Inggris dan Kanada.
Terkait temuan baru ini, Sergey Golovanov, Principal Security Researcher, Kaspersky Lab, menyatakan, “Keberadaaan server ini di suatu negara tidak berarti mereka digunakan oleh penegak hukum di negara tersebut. Namun, masuk akal bagi para pengguna RCS untuk mengoperasikan server C&C di lokasi yang mereka kontrol – karena di tempat tersebut masalah hukum antar negara dan penyitaan server risikonya kecil.”
Implan Ponsel RCS
Meskipun sebelumnya telah diketahui bahwa mobile Trojan untuk iOS dan Android dari Hacking Team memang ada, sebelumnya belum ada yang benar-benar bisa mengidentifikasi, atau mengetahui penggunaannya dalam serangan. Para ahli Kaspersky Lab telah meneliti malware RCS selama dua tahun. Awal tahun ini mereka mampu mengidentifikasi sampel tertentu dari modul mobile yang sama dengan profil konfigurasi malware RCS lainnya dalam koleksi mereka. Dalam penelitian terbaru, varian baru sampel juga didapat dari korban melalui jaringan KSN Kaspersky Lab yang awan. Selain itu, para ahli Kaspersky Lab juga bekerja sama dengan Morgan Marquis-Boire dari Citizen Lab, yang meneliti kumpulan malware HackingTeam secara ekstensif.
Vektor penginfeksian: Dalang di belakang Galileo RCS membangun implan berbahaya spesifik untuk target yang jelas. Begitu sampel siap, penyerang mengirimkannya ke perangkat mobile korban. Beberapa vektor penginfeksian yang diketahui termasuk spearphishing melalui rekayasa sosial, yang sering digabungkan dengan eksploitasi, termasuk exploitasi zero-day; dan penginfeksian lokal melalui kabel USB ketika sinkronisasi perangkat mobile.
Salah satu temuan terbesar adalah mempelajari secara tepat bagaimana Trojan mobile Galileo menginfeksi iPhone: untuk melakukanhal ini perangkat perlu di-jailbreake. Namun, iPhone yang tidak di-jailbreake juga bisa rentan: pelaku bisa menjalankan tools jailbreaking seperti 'Evasi0n' melalui komputer yang terinfeksi dan melakukan jailbreaking dari jarak jauh, lalu melakukan penginfeksian. Untuk menghindari risiko penginfeksian, para ahli Kaspersky Lab menganjurkan agar Anda tidak men-jailbreake iPhone Anda, dan selalu update iOS pada perangkat Anda ke versi terbaru.
Kegiatan mata-mata sesuai keinginan: Modul mobile RCS dirancang secara cermat untuk beroperasi secara hati-hati, misalnya dengan memperhatikan secara seksama umur baterai perangkat mobile. Hal ini diimplementasikan melalui kemampuan memata-matai yang disesuaikan secara hati-hati, atau melalui pemicu khusus: misalnya, rekaman audio hanya akan aktif ketika korban terhubung ke jaringan Wi-Fi tertentu (misalnya, jaringan media), atau ketika mengubah kartu SIM, atau saat perangkat sedang diisi ulang (charging).
Secara umum, Trojan mobile RCS mampu melakukan berbagai macam fungsi pengintaian, termasuk melaporkan lokasi target, mengambil foto, menyalin acara dari kalender, mendaftarkan kartu SIM baru yang dimasukkan ke dalam perangkat yang terinfeksi, dan mengintersepsi panggilan telepon dan pesan; termasuk pesan yang dikirim dari aplikasi tertentu seperti Viber, WhatsApp dan Skype, di samping teks SMS biasa. [leo/timBX]