Threat Analysis Group (TAG) Google telah menemukan dua kampanye spyware seluler bertarget tinggi yang menggunakan eksploitasi zero-day untuk menyebarkan perangkat lunak pengawasan terhadap pengguna smartphone iPhone dan Android.
Google TAG menemukan dua kampanye "berbeda, terbatas, dan sangat bertarget" yang ditujukan untuk pengguna Android, iOS, dan Chrome di perangkat seluler. Kampanye menggunakan eksploitasi zero-day dan n-day, memanfaatkan periode antara saat vendor merilis perbaikan kerentanan dan ketika produsen perangkat keras memperbarui perangkat pengguna akhir dengan patch tersebut, menciptakan eksploitasi untuk platform yang tidak dipatch.
Penemuan ini menyoroti pentingnya patching perangkat lunak yang tepat waktu oleh vendor dan pengguna akhir untuk mencegah aktor jahat mengeksploitasi kerentanan yang diketahui. Kampanye tersebut juga menyarankan agar vendor perangkat lunak pengawasan berbagi eksploitasi dan teknik untuk memungkinkan proliferasi alat peretasan yang berpotensi berbahaya.
Kampanye pertama (CVE-2022-42856; CVE-2022-4135) versi iOS dan Android yang ditargetkan sebelum 15.1 dan GPU ARM yang masing-masing menjalankan versi Chrome sebelum 106. Muatan eksploitasi dalam kampanye pertama termasuk stager sederhana yang melakukan ping kembali ke lokasi GPS perangkat dan memungkinkan penyerang untuk menginstal file . IPA ke handset yang terpengaruh, yang dapat digunakan untuk mencuri informasi.
Kampanye ini menargetkan perangkat Android dan iOS, dengan upaya akses awal dikirimkan melalui URL Bit.ly tautan yang lebih pendek yang dikirim melalui SMS kepada pengguna yang berlokasi di tiga negara berikut:
1. Italia
2. Malaysia
3. Kazakhstan.
Kampanye kedua (CVE-2022-4262; CVE-2023-0266), yang mencakup rantai eksploitasi lengkap menggunakan zero-days dan n-days, menargetkan versi terbaru dari browser Samsung Internet. Muatan eksploitasi dalam kampanye kedua adalah "rangkaian spyware Android berfitur lengkap" berbasis C++ yang menyertakan pustaka untuk mendekripsi dan menangkap data dari berbagai aplikasi obrolan dan browser.
Peneliti Google menduga bahwa aktor yang terlibat mungkin adalah pelanggan, mitra, atau afiliasi dekat Variston, vendor spyware komersial.Perlu dicatat bahwa seperti yang dilaporkan oleh Hackread.com tahun lalu, Variston adalah perusahaan yang berbasis di Barcelona yang diekspos Google TAG karena mengeksploitasi kerentanan n-day di Chrome, Firefox, dan Microsoft Defender sambil menyamar sebagai penyedia solusi keamanan siber khusus.
.
.
TAG secara aktif melacak vendor spyware komersial, dengan lebih dari 30 saat ini sedang diamati, dan mengidentifikasi eksploitasi atau kemampuan pengawasan yang dijual kepada aktor yang disponsori negara. Alat peretasan berbahaya ini mempersenjatai pemerintah dengan kemampuan pengawasan yang tidak akan dapat mereka kembangkan sendiri.
.
.
Alat-alat ini, termasuk spyware, sering digunakan untuk menargetkan para pembangkang, jurnalis, pekerja hak asasi manusia, dan politisi partai oposisi, yang menimbulkan risiko yang mengancam jiwa.
Meskipun penggunaan teknologi pengawasan umumnya legal di bawah sebagian besar hukum nasional atau internasional, pemerintah telah menyalahgunakan undang-undang dan teknologi ini untuk menargetkan individu yang tidak sejalan dengan agenda mereka.
.
.
Regulator dan vendor sama-sama telah menindak produksi dan penggunaan spyware komersial sejak pengungkapan pemerintah yang menyalahgunakan spyware seluler Pegasus NSO Group untuk menargetkan pengguna iPhone berada di bawah pengawasan internasional.
.
.
Pada 28 Maret, pemerintahan Biden mengeluarkan perintah eksekutif yang membatasi penggunaan alat pengawasan komersial oleh pemerintah federal, tetapi temuan Google menunjukkan bahwa upaya ini belum menggagalkan adegan spyware komersial.
Sangat penting bahwa peraturan yang mengatur produksi dan penggunaan spyware komersial diperkuat untuk memastikan bahwa mereka tidak digunakan untuk menargetkan individu yang melanggar hak-hak dasar mereka.
.
.
Penemuan tersebut menunjukkan bahwa mereka yang menciptakan eksploitasi mengawasi kerentanan yang dapat mereka eksploitasi untuk tujuan jahat dan kemungkinan berkolusi untuk memaksimalkan potensi penggunaannya untuk membahayakan perangkat yang ditargetkan.
