Pelaku kejahatan terkait dengan aksi spionase di internet, kedapatan berusaha memikat pengguna Android dengan aplikasi VPN palsu. Para peneliti ESET menyebutkan, VPN palsu di Android ini merupakan versi trojan aplikasi resmi SoftVPN dan OpenVPN. Mengutip BleepingComputer, Senin (28/11/2022), metode ini bertujuan mencuri data kontak dan panggilan, lokasi perangkat, serta pesan dari berbagai aplikasi. Adapun para peneliti malware di ESET menyebutkan, operasi itu terkait dengan pelaku kejahatan canggih yang dikenal sebagai Bahamut.

Diyakini, Bahamut adalah kelompok yang menyediakan layanan sebagai peretas bayaran. Analis malware ESET, Lukas Stefanko, mengatakan, Bahamut memodifikasi SoftVPN dan OpenVPN dengan menambahkan kode untuk memata-matai korban. Dengan cara ini, pelaku kejahata dapat memastikan aplikasi tetap menyediakan fungsionalitas VPN kepada korban. Tanpa mereka sadari, informasi pribadi korban yang menginstal kedua aplikasi VPN palsu ini sudah dicuri oleh pelaku kejahatan siber. Untuk menyembunyikan aksinya dan untuk kredibilitas, Bahamut menggunakan nama SecureVPN (layanan VPN sah). Pelaku juga sengaja membuat situs palsu dengan nama [thesecurevpn], dipakai untuk mendistribusikan aplikasi berbahaya buatan mereka. Stefanko mengatakan, aplikasi VPN buatan pelaku dapat mencuri kontak, log panggilan, detail lokasi, SMS, dan memata-matai obrolan di aplikasi pesan, seperti Signal, Viber, WhatsApp, Telegram, dan Facebook Messenger. Peneliti di ESET juga menemukan ada delapan versi aplikasi VPN mata-mata buatan Bahamut, dan semuanya memiliki nomor versi berurutan. Hal ini menandakan pelaku terus meng-update aplikasi VPN palsu tersebut, sehingga terlihat memang aktif dan didukung oleh pengembang.

Apple Akan Rilis Lockdown Mode

Di sisi lain, Apple baru saja mengungkap akan memperkenalkan Lockdown Mode ke seluruh perangkat iPhone, iPad, hingga Mac. Adapun Lockdown Mode adalah fitur dimana fitur-fitur tertentu akan dimatikan, dan melindungi pengguna dari penyusup/spyware berbahaya. Apple mengatakan, fitur ini adalah perlindungan opsional bagi jurnalis, aktivis, dan pembela hak asasi manusia yang menjadi sasaran negara menggunakan spyware. Dilansir Gizmodo, fitur ini hadir sebagai solusi setelah beberapa tahun serangan spyware sukses menargetkan ribuan pengguna iPhone di seluruh dunia. Memanfaatkan kerentanan di sistem keamanan perangkat, pembuat spyware seperti NSO Group, Candiru, dan Cytrox dapat menginjeksi spyware atas permintaan pelanggan pemerintah mereka. Saat diaktifkan, mode baru ini akan menonaktifkan fungsi dan fitur tertentu dimana titik masuk untuk infeksi spyware di masa lalu.

Fitur Lockdown Mode

Lockdown mode akan memblokir sebagian besar jenis attachment pesan (yang biasanya digunakan untuk penyebaran spyware licik), serta koneksi kabel ke komputer atau perangkat lain. Dalam beberapa kasus, berbagai jenis kode diblokir agar tidak berjalan di perangkat (Apple mencontohkan menggunakan kompilasi JavaScript just-in-time (JIT)). “Lockdown mode adalah fitur inovatif yang mencerminkan komitmen teguh kami untuk melindungi pengguna dari serangan paling langka dan paling canggih,” kata Ivan Krstić, kepala teknik dan arsitektur keamanan Apple. “Sementara sebagian besar pengguna iPhone, iPad, dan Mac tidak akan pernah menjadi korban serangan siber yang sangat ditargetkan, kami akan bekerja tanpa lelah untuk melindungi minoritas,” katanya

Spyware Berbahaya Intai Pengguna Android dan iOS

Google memperingatkan pengguna tentang spyware bernama Hermit yang dibuat oleh perusahaan berbasis di Italia, yaitu RCS Labs. Adapun spyware Hermit dibuat tidak hanya dapat mencuri data korbannya, tetapi juga merekam dan melakukan panggilan telepon tanpa izin pengguna. Tim peneliti Google bernama Threat Analysis Group (TAG), Benoit Sevens dan Clement Lecigne, mengungkap RCS Labs sengaja menginfeksi pengguna HP Android dan iOS dengan spyware mereka. Proses infeksi spyware ke perangkat pengguna ini dilakukan dengan bantuan beberapa Penyedia Layanan Internet (ISP) di Italia dan Kazakhstan, sebagaimana dikutip dari laporan TAG via Security Affairs.TAG mendapati ada tujuh dari sembilan kerentanan zero-day yang ditemukan pada tahun 2021 dikembangkan oleh penyedia komersial, dan dijual kepada kelompok yang didukung pemerintah. Tim peneliti melacak ada lebih dari 30 vendor yang menjual kerentanan, atau kemampuan pengawasan kepada organisasi atau institusi dukungan pemerintah. TAG telah mengamati RCS Labs, dan mengetahui metode serangan mereka selalu diawali dengan tautan unik yang dikirim ke target. Setelah mengklik tautan, korban diarahkan ke halaman yang dirancang mengelabui pengguna agar mengunduh dan memasang aplikasi berbahaya di HP Android atau iOS mereka.