Seorang programmer Rusia yang dituduh menyumbangkan uang ke Ukraina perangkat Android-nya diam-diam ditanamkan spyware oleh Dinas Keamanan Federal (FSB) setelah dia ditahan awal tahun ini.
Temuan ini merupakan bagian dari penyelidikan kolaboratif yang dilakukan oleh First Department dan Citizen Lab di Universitas Toronto.
“Spyware yang ditempatkan pada perangkatnya memungkinkan operator melacak lokasi perangkat target, merekam panggilan telepon, penekanan tombol, dan membaca pesan dari aplikasi perpesanan terenkripsi, dan kemampuan lainnya,” menurut laporan tersebut.
Pada bulan Mei 2024, Kirill Parubets dibebaskan dari tahanan setelah menjalani penahanan administratif selama 15 hari oleh otoritas Rusia, selama waktu tersebut teleponnya, telepon Oukitel WP7 yang menjalankan Android 10, disita darinya.
Selama periode ini, dia tidak hanya dipukuli untuk memaksanya mengungkapkan kata sandi perangkatnya, dia juga mengalami “upaya intensif” untuk merekrutnya sebagai informan FSB, atau berisiko menghadapi hukuman penjara seumur hidup.
Setelah setuju bekerja untuk agensi tersebut, meski hanya untuk mengulur waktu dan melarikan diri, FSB mengembalikan perangkatnya ke markas besarnya di Lubyanka. Pada tahap inilah Parubets mulai memperhatikan bahwa ponsel menunjukkan perilaku yang tidak biasa, termasuk pemberitahuan yang mengatakan “Sinkronisasi Arm cortex vx3.”
Pemeriksaan lebih lanjut terhadap perangkat Android tersebut mengungkapkan bahwa perangkat tersebut memang telah dirusak oleh versi trojan dari aplikasi Cube Call Recorder asli. Perlu diperhatikan bahwa aplikasi yang sah memiliki nama paket “com.catalinagroup.callrecorder”, sedangkan nama paket aplikasi jahatnya adalah “com.cortex.arm.vx3”.
Aplikasi palsu ini dirancang untuk meminta izin mengganggu yang memungkinkannya mengumpulkan berbagai data, termasuk pesan SMS, kalender, menginstal paket tambahan, dan menjawab panggilan telepon. Itu juga dapat mengakses lokasi yang bagus, merekam panggilan telepon, dan membaca daftar kontak, semua fungsi yang merupakan bagian dari aplikasi yang sah.
“Sebagian besar fungsi berbahaya dari aplikasi tersebut disembunyikan dalam spyware tahap kedua yang terenkripsi,” kata Citizen Lab. “Setelah spyware dimuat ke telepon dan dieksekusi, tahap kedua didekripsi dan dimuat ke dalam memori.”
Tahap kedua menggabungkan fitur untuk mencatat penekanan tombol, mengekstrak file dan kata sandi yang disimpan, membaca obrolan dari aplikasi perpesanan lain, memasukkan JavaScript, menjalankan perintah shell, mendapatkan kata sandi buka kunci perangkat, dan bahkan menambahkan administrator perangkat baru.
Spyware ini juga menunjukkan beberapa tingkat tumpang tindih dengan spyware Android lainnya bernama Monokle yang didokumentasikan oleh Lookout pada tahun 2019, sehingga meningkatkan kemungkinan bahwa itu adalah versi terbaru atau dibuat dengan menggunakan kembali basis kode Monokle. Secara khusus, beberapa instruksi perintah-dan-kontrol (C2) antara kedua strain tersebut ditemukan identik.
Citizen Lab mengatakan mereka juga melihat referensi ke iOS dalam kode sumber, yang menunjukkan bahwa mungkin ada versi spyware iOS.
“Kasus ini menggambarkan bahwa hilangnya hak asuh fisik sebuah perangkat kepada dinas keamanan yang bermusuhan seperti FSB dapat menjadi risiko serius untuk kompromi yang akan melampaui jangka waktu di mana dinas keamanan memiliki hak asuh atas perangkat tersebut,” katanya.
Pengungkapan ini terjadi ketika iVerify mengatakan mereka menemukan tujuh infeksi spyware Pegasus baru di perangkat iOS dan Android milik jurnalis, pejabat pemerintah, dan eksekutif perusahaan. Perusahaan keamanan seluler melacak pengembang spyware, NSO Group, sebagai Rainbow Ronin.
“Satu eksploitasi dari akhir tahun 2023 di iOS 16.6, potensi infeksi Pegasus lainnya pada November 2022 di iOS 15, dan lima infeksi lama yang terjadi pada tahun 2021 dan 2022 di iOS 14 dan 15,” kata peneliti keamanan Matthias Frielingsdorf. “Masing-masing mewakili perangkat yang bisa dipantau secara diam-diam, datanya disusupi tanpa sepengetahuan pemiliknya.”
