Perangkat Lunak Mata-Mata iPhone Langka Dapat Menginfeksi Perangkat Hanya dengan Satu Kali Kunjungan Website, Menurut Peneliti
Bayangkan, hanya dengan satu kali kunjungan ke situs web yang telah diretas, iPhone Anda bisa terinfeksi oleh spyware. Inilah kenyataan mengejutkan yang dihadapi oleh pengguna iPhone saat ini. Menurut peneliti keamanan, adanya perangkat lunak mata-mata iPhone baru yang dikenal sebagai DarkSword, dapat merusak perangkat dan mencuri data hanya dalam hitungan menit. Lalu, apa yang membuat iPhone Spyware ini berbeda dan lebih berbahaya? Mari kita telusuri lebih lanjut.
Penemuan Spyware iPhone Baru yang Membahayakan
Sebuah tim dari Threat Intelligence Group, bekerja sama dengan Lookout dan iVerify, telah mengidentifikasi sebuah serangan baru pada iOS yang memanfaatkan beberapa celah keamanan yang belum diketahui (zero-day) untuk merusak perangkat sepenuhnya. Penting untuk dicatat bahwa serangan jenis ini berarti bahwa perangkat lunak berbahaya menggabungkan beberapa bug untuk berpindah dari halaman web hingga mengendalikan ponsel sepenuhnya.
Selanjutnya, dalam kasus ini, serangan dimulai di JavaScriptCore, mesin yang digunakan oleh Safari dan WebKit untuk menjalankan kode situs web. Dari sana, penyerang berhasil keluar dari sandbox Safari, sebuah batasan keamanan yang dirancang untuk mengisolasi konten web yang berisiko. Pertama-tama, spyware ini menginfeksi proses GPU, kemudian berpindah ke layanan sistem iOS yang lebih berprivilese, yaitu mediaplaybackd. Akhirnya, rantai ini menggunakan kelemahan kernel untuk meningkatkan hak istimewa lebih lanjut dan menyebarkan muatan spyware.
Di sisi lain, tim peneliti menyatakan bahwa rantai ini menggunakan beberapa kerentanan di seluruh stack perangkat lunak Apple, termasuk bug korupsi memori di JavaScriptCore, kelemahan di ANGLE yang digunakan oleh penanganan grafis Safari, dan masalah kernel di XNU, inti dari iOS. Beberapa kelemahan tersebut dieksploitasi sebagai zero-days, yang berarti penyerang menggunakan mereka sebelum perbaikan tersedia untuk publik. Menurut peneliti, perbaikan yang relevan telah dikirim oleh Apple di iOS 18.6, 18.7.2, 18.7.3, 26.1, 26.2, dan 26.3, tergantung pada bug tersebut.
Namun demikian, serangan ini digambarkan sebagai kampanye watering hole. Itu berarti penyerang merusak situs web yang kemungkinan akan dikunjungi oleh target mereka, lalu menggunakan situs tersebut untuk mengirimkan eksploitasi. Menurut peneliti, sebuah grup mata-mata Rusia yang dicurigai, UNC6353, telah menggunakan DarkSword dalam serangan watering hole pada situs web Ukraina, sementara para peneliti melaporkan bahwa malware ini dirancang untuk menginfeksi siapa saja yang mengunjungi situs Ukraina tertentu dari dalam negeri.
Bagian berikutnya, menurut peneliti, DarkSword dibuat untuk mencuri kata sandi, foto, riwayat penjelajahan, dan pesan dari aplikasi, termasuk WhatsApp dan Telegram, bersama dengan teks SMS. Peneliti juga menemukan kode yang ditargetkan pada aplikasi dompet kripto; namun, tidak dapat dipastikan bahwa tujuan utama penyebaran spyware adalah untuk keuntungan finansial.
Di sisi lain, tidak seperti spyware yang dibuat untuk pengawasan jangka panjang, DarkSword tampaknya dirancang untuk operasi cepat. Peneliti mengatakan bahwa waktu tinggalnya di perangkat kemungkinan diukur dalam menit, cukup lama untuk mengumpulkan dan mengirim data keluar sebelum menghilang. Tim peneliti juga membagikan potongan kode yang menunjukkan upaya untuk menghapus log crash, yang akan membuat intrusi lebih sulit untuk dideteksi.
Namun demikian, meskipun tidak mudah untuk memblokir upaya spyware untuk masuk ke perangkat setelah sudah terinfeksi, pengguna dapat meminimalkan peluang infeksi dengan menghindari situs web yang tidak dikenal atau berisiko tinggi, terutama dalam konteks yang berhubungan dengan konflik atau politik sensitif. Menurut peneliti, kelompok hacker di balik spyware ini juga telah menerapkan rantai eksploitasi di Arab Saudi, Turki, dan Malaysia. Jumlah total perangkat yang terinfeksi sulit untuk ditentukan.
