Waspada! Malware Spionase FinSpy Kembali Berulah

Pada tahun 2013 lalu, FinFisher/FinSpy pernah menyusup dan menyerang Indonesia membuat gempar jagat maya di tanah air. ESET mengamati aktivitas keduanya tersebut pada perangkat komunikasi mobile yaitu di iPhones dan Blackberry dan kemungkinan menjangkiti OS yang lain pula.

Untuk menanggulanginya, saat itu ESET secara proaktif bekerja sama dengan pemerintah dan lembaga-lembaga penegak hukum dengan nama Securing Our E-City. ESET di Indonesia bersama-sama dengan institusi pendidikan membangun zona bebas virus (ESET Virus Free Zone).

Berbeda dengan saat ini, varian terbaru FinFisher memiliki kemampuan memata-matai yang luas, seperti pengawasan langsung melalui webcam dan mikrofon, keylogging, dan pengarsipan file. Apa yang membuat FinFisher berbeda dari alat pengawasan lainnya adalah bagaimana FinFisher dijual bebas dan dipasarkan sebagai alat penegakan hukum dan diyakini telah digunakan oleh banyak pemerintah.

ESET menemukan varian FinFisher terbaru ini beredar di tujuh negara. Sayangnya ESET tidak bisa mengungkapkan negara mana saja yang telah disusupi, agar tidak membahayakan keselamatan siapa pun.

Operasi gelap FinFisher atau yang dikenal dalam deteksi ESET sebagai Win32/FinSpy pada 12 September 2017 dengan versi deteksi database 16072 diketahui telah menggunakan berbagai mekanisme infeksi, termasuk spearphishing, instalasi manual dengan akses fisik ke perangkat, eksploitasi zero day, dan serangan watering hole, yaitu menulari situs yang diperkirakan akan dikunjungi.

Apa yang baru dan yang paling meresahkan dari operasi baru adalah dalam hal distribusi yang menggunakan serangan man-in-the-middle (MITM) oleh pelaku yang kemungkinan besar beroperasi di tingkat ISP. ESET telah melihat vektor ini digunakan di dua negara di mana sistem ESET mendeteksi spyware FinFisher terbaru sementara di lima negara yang tersisa, operasi tersebut mengandalkan? distribusi konvensional.

Ketika pengguna yang menjadi target pengawasan ingin mengunduh salah satu dari beberapa aplikasi populer dan legitimate, aplikasi tersebut diarahkan ke versi aplikasi yang terinfeksi FinFisher. Aplikasi yang telah kita lihat disalahgunakan untuk menyebarkan FinFisher adalah WhatsApp, Skype, WinRAR, VLC Player dan beberapa lainnya. Penting untuk dicatat bahwa hampir semua aplikasi dapat disalahgunakan dengan cara ini.

Serangan dimulai dengan pengguna mencari salah satu aplikasi yang terpengaruh di situs web yang sah. Setelah pengguna mengklik tautan unduhan, browser mereka dilayani dengan tautan yang dimodifikasi dan diarahkan ke paket pemasangan trojan yang diinangi di server pelaku. Saat diunduh dan dijalankan, aplikasi tidak hanya menginstal aplikasi yang sah, namun juga spyware FinFisher berjalan bersamaan dengannya.

Pengalihan dilakukan dengan tautan unduhan yang sah diganti dengan yang sudah terpapar FinSpy. Tautan jahat dikirim ke browser pengguna melalui HTTP 307. Kode respon status pengalihan sementara menunjukkan bahwa konten yang diminta telah dipindah sementara ke URL baru. Seluruh proses pengalihan terjadi tanpa sepengetahuan pengguna dan tidak terlihat oleh mata telanjang.

Beredarnya kembali FinFisher tentu saja menimbulkan banyak kekuatiran berbagai pihak, hal ini mendapat perhatian dari Technical Consultant PT Prosperita?ESET Indonesia, Yudhi Kukuh yang mengatakan versi terbaru dari FinFisher telah menerima perbaikan teknis dan mengalami peningkatan kualitas, para pengembangnya fokus dengan mengembangkan teknologi stealth untuk menyembunyikan diri dari pelacakan radar.

"Spyware juga menggunakan virtualisasi kode kustom untuk melindungi sebagian besar komponennya, termasuk driver mode kernel. Selain itu, seluruh kode sudah terisi dengan trik anti-pembongkaran. ESET menemukan banyak trik anti-sandboxing, anti-debugging, anti-virtualisasi dan anti-emulasi dalam spyware," kata Yudhi dalam pernyataan persnya, Jakarta, Rabu (27/9/2017).

Namun, bagi pengguna ESET imbau Yudhi seharusnya tidak perlu kuatir dengan kembali beredarnya FinSpy/FinFisher meskipun masih dirahasiakan identitas negara mana saja yang sudah disusupi, karena? ESET mampu mendeteksi kehadiran Spyware berbahaya ini.

Saat menganalisis operasi spyware ini, ESET menemukan sampel yang menarik, spyware FinFisher menyamar sebagai file executable bernama "Threema". File semacam itu dapat digunakan untuk menargetkan pengguna yang peduli terhadap privasi, karena aplikasi Threema yang asli menyediakan pesan instan yang aman dengan enkripsi end-to-end. Ironisnya, mereka malah tertipu untuk mengunduh dan menjalankan file terinfeksi yang mengakibatkan pengguna pencari privasi dimata-matai.

Fokus khusus pada pengguna yang mencari perangkat lunak enkripsi tidak terbatas hanya pada komunikator end-to-end. Selama penelitian, ESET juga menemukan file instalasi TrueCrypt sebuah software enkripsi disk yang sangat populer menjadi trojan bagi FinFisher.

Secara teknis, kemungkinan posisi pelaku dalam serangan man-in-the-middle ini ditempatkan di berbagai posisi di sepanjang rute dari komputer target ke server yang sah (misalnya hotspot Wi-Fi yang terganggu). Namun, penyebaran geografis deteksi ESET terhadap varian FinFisher terbaru menunjukkan bahwa serangan MitM terjadi pada tingkat yang lebih tinggi dan ISP muncul sebagai pilihan yang paling mungkin.