Teknopolis

Malware Spionase Finspy kembali Menyerang

Sabtu, 7 October 2017 03:30 WIB Penulis: (Riz/X-7)

DOK. GIGAZINE

ALAT pengintai malware Finfisher, atau Finspy, ialah spyware terkenal yang sering dijual ke pemerintah atau agensi-agensi di seluruh dunia. Alat tersebut kini telah beredar luas di internet. Selain menampilkan peningkatan kualitas, beberapa variannya juga telah menggunakan penyebaran yang tak kasatmata. Hal itu diduga melibatkan internet service provider (ISP). Pada 2013 Finfisher pernah menyusup dan menyerang Indonesia dan membuat gempar jagat maya di Tanah Air. Aktivitas Finspy itu menyusupi perangkat komunikasi mobile, yaitu di Iphone dan Blackberry, dan kemungkinan menjangkiti OS lainnya.

Berbeda dengan saat ini, varian terbaru Finfisher berkemampuan memata-matai lebih luas lagi, seperti pengawasan langsung melalui webcam dan mikrofon, keylogging, dan pengarsipan file. Finfisher boleh dibilang berbeda dari alat pengawasan lainnya karena penjualannya bebas dan dipasarkan sebagai alat penegakan hukum, serta diyakini telah banyak digunakan pemerintah. Apa yang baru dan paling meresahkan dari operasi baru itu ialah dalam hal distribusinya. Itu menggunakan serangan man-in-the-middle (MITM) oleh pelaku yang amat mungkin beroperasi di tingkat ISP.

Cara kerja Finspy sendiri ialah ketika pengguna yang menjadi target pengawasan ingin mengunduh salah satu dari beberapa aplikasi populer dan berlegitimasi. Aplikasi tersebut diarahkan ke versi aplikasi yang terinfeksi Finfisher. Aplikasi yang telah kita lihat disalahgunakan untuk menyebarkan Finfisher ialah Whatsapp, Skype, Winrar, VLC Player, dan beberapa lainnya. Penting untuk dicatat bahwa hampir semua aplikasi dapat disalahgunakan dengan cara ini. Serangan dimulai dengan pengguna mencari salah satu aplikasi yang terpengaruh di situs web yang sah. Setelah pengguna mengeklik tautan unduhan, browser mereka dilayani dengan tautan bermodifikasi dan diarahkan ke paket pemasangan trojan yang diinangi di server pelaku.

Saat diunduh dan dijalankan, aplikasi tidak hanya menginstal aplikasi sah, tetapi juga spyware Finfisher berjalan bersamaan dengannya. Pengalihan dilakukan dengan tautan unduhan sah diganti yang sudah terpapar Finspy. Tautan jahat dikirim ke browser pengguna melalui HTTP 307. Kode respons status pengalihan sementara menunjukkan konten yang diminta telah dipindah sementara ke URL baru. Beredarnya kembali Finfisher tentu saja menimbulkan banyak kekhawatiran berbagai pihak, hal itu mendapat perhatian dari Technical Consultant PT Prosperita – ESET Indonesia, Yudhi Kukuh. Menurutnya, versi terbaru dari Finfisher telah menerima perbaikan teknis dan mengalami peningkatan kualitas, para pengembangnya fokus dengan mengembangkan teknologi stealth untuk menyembunyikan diri dari pelacakan radar.

Spyware juga menggunakan virtualisasi kode custom untuk melindungi sebagian besar komponennya, termasuk driver mode kernel. Selain itu, seluruh kode sudah terisi dengan trik antipembongkaran. ESET menemukan banyak trik anti-sandboxing, anti-debugging, antivirtualisasi, dan antiemulasi dalam spyware. “Namun, bagi pengguna ESET seharusnya tidak perlu khawatir dengan kembali beredarnya Finspy/Finfisher, meskipun masih dirahasiakan identitas negara mana saja yang sudah disusupi. Sebabnya ESET mampu mendeteksi kehadiran spyware berbahaya ini,” ungkap Yudhi.

Saat menganalisis operasi spyware itu, ESET menemukan sampel yang menarik, spyware Finfisher menyamar sebagai file executable bernama Threema. File semacam itu dapat digunakan untuk menargetkan pengguna yang peduli terhadap privasi karena aplikasi Threema yang asli menyediakan pesan instan yang aman dengan enkripsi end-to-end. Ironisnya, mereka malah tertipu untuk mengunduh dan menjalankan file terinfeksi yang mengakibatkan pengguna pencari privasi dimata-matai. (Riz/X-7)

Komentar