Peneliti Temukan Spyware Android 'Hermit' yang Digunakan di Kazakhstan, Suriah, dan Italia

Sebuah alat pengawasan tingkat perusahaan yang dijuluki Hermit telah digunakan oleh entitas yang beroperasi dari dalam Kazakhstan, Suriah, dan Italia selama bertahun-tahun sejak 2019, penelitian baru telah mengungkapkan.

Lookout mengaitkan perangkat lunak mata-mata, yang dilengkapi untuk menargetkan Android dan iOS, dengan perusahaan Italia bernama RCS Lab S.p.A dan Tykelab Srl, penyedia layanan telekomunikasi yang diduga sebagai perusahaan depan. Perusahaan keamanan siber yang berbasis di San Francisco itu mengatakan pihaknya mendeteksi kampanye yang ditujukan ke Kazakhstan pada April 2022.

Hermit bersifat modular dan dilengkapi dengan segudang kemampuan yang memungkinkannya untuk "mengeksploitasi perangkat yang di-rooting, merekam audio dan membuat serta mengalihkan panggilan telepon, serta mengumpulkan data seperti log panggilan, kontak, foto, lokasi perangkat, dan pesan SMS," kata peneliti Lookout Justin Albrecht dan Paul Shunk dalam sebuah tulisan baru.

Spyware diyakini didistribusikan melalui pesan SMS yang mengelabui pengguna untuk menginstal aplikasi yang tampaknya tidak berbahaya dari Samsung, Vivo, dan Oppo, yang, ketika dibuka, memuat situs web dari perusahaan yang ditiru sambil diam-diam mengaktifkan rantai pembunuhan di latar belakang.

Seperti ancaman malware Android lainnya, Hermit dirancang untuk menyalahgunakan izinnya ke layanan aksesibilitas dan komponen inti lainnya dari sistem operasi (yaitu, kontak, kamera, kalender, clipboard, dll.) untuk sebagian besar aktivitas berbahayanya.


Perangkat Android telah berada di ujung penerima spyware di masa lalu. Pada November 2021, aktor ancaman yang dilacak sebagai APT-C-23 (alias Arid Viper) dikaitkan dengan gelombang serangan yang menargetkan pengguna Timur Tengah dengan varian baru FrozenCell.


Kemudian bulan lalu, Kelompok Analisis Ancaman (TAG) Google mengungkapkan bahwa setidaknya aktor yang didukung pemerintah yang berlokasi di Mesir, Armenia, Yunani, Madagaskar, Pantai Gading, Serbia, Spanyol, dan Indonesia membeli eksploitasi zero-day Android untuk kampanye pengawasan terselubung.

"RCS Lab, pengembang terkenal yang telah aktif selama lebih dari tiga dekade, beroperasi di pasar yang sama dengan pengembang Pegasus NSO Group Technologies dan Gamma Group, yang menciptakan FinFisher," catat para peneliti.


"Secara kolektif dicap sebagai perusahaan 'pencegatan yang sah', mereka mengklaim hanya menjual kepada pelanggan dengan penggunaan yang sah untuk pengawasan, seperti badan intelijen dan penegak hukum. Pada kenyataannya, alat-alat semacam itu sering disalahgunakan dengan kedok keamanan nasional untuk memata-matai eksekutif bisnis, aktivis hak asasi manusia, jurnalis, akademisi, dan pejabat pemerintah."


Temuan itu muncul ketika NSO Group yang berbasis di Israel dikatakan dilaporkan dalam pembicaraan untuk menjual teknologi Pegasus-nya kepada kontraktor pertahanan AS L3Harris, perusahaan yang memproduksi pelacak telepon seluler StingRay, memicu kekhawatiran bahwa mereka dapat membuka pintu bagi penggunaan alat peretasan kontroversial oleh penegak hukum AS.


Pembuat Jerman di balik FinFisher telah mengadili masalahnya sendiri setelah penggerebekan tahun 2020 yang dilakukan oleh pihak berwenang penyelidik sehubungan dengan dugaan pelanggaran undang-undang perdagangan luar negeri dengan cara menjual spyware-nya di Turki tanpa mendapatkan lisensi yang diperlukan.


Awal Maret ini, mereka menutup operasinya dan mengajukan kebangkrutan, Netzpolitik dan Bloomberg melaporkan, menambahkan, "kantor telah dibubarkan, karyawan telah diberhentikan, dan operasi bisnis telah berhenti."

Sumber: https://thehackernews.com/2022/06/researchers-uncover-hermit-android.html?_m=3n.009a.2763.hu0ao0aypn.1rk8