Peneliti Ungkap Spyware iPhone Langka Bisa Infeksi Perangkat Hanya dengan Satu Kali Kunjungan Situs Web

Mengintip ke dalam dunia digital, ada sebuah perangkat lunak mata-mata iPhone yang baru saja terdokumentasi, dikenal dengan nama DarkSword. Menariknya, spyware ini dapat merusak perangkat hanya dengan mengunjungi situs web yang telah diretas. Menurut peneliti keamanan, DarkSword telah digunakan dalam kampanye yang menargetkan orang-orang di Ukraina dan beroperasi dengan serangkaian eksploitasi yang memungkinkan penyerang untuk meretas Safari, lolos dari lapisan keamanannya, mendapatkan akses lebih dalam ke iOS, mencuri data, dan kemudian menghapus diri mereka dalam hitungan menit.

Yang membuat iPhone spyware ini semakin mencemaskan adalah ia hanya menargetkan iPhone yang menjalankan versi tertentu dari iOS 18. Kabar baiknya, Apple dikabarkan telah memperbaiki kerentanan ini. Namun, hal ini tentu menjadi peringatan bagi kita semua untuk selalu waspada dan menjaga keamanan perangkat kita.

Terkuak, Spyware iPhone Berbahaya yang Dapat Menyerang Hanya dengan Mengunjungi Situs Web

Grup Inteligensi Ancaman Google (GTIG) bekerja sama dengan Lookout dan iVerify, mengidentifikasi eksploitasi baru pada iOS yang menggunakan berbagai kerentanan zero-day (belum ditemukan) untuk mengambil alih perangkat secara total. Dalam hal ini, serangkaian eksploitasi berarti penggunaan beberapa bug untuk berpindah dari halaman web hingga mengendalikan ponsel sepenuhnya.

Selanjutnya, serangan ini dimulai dari JavaScriptCore, mesin yang digunakan oleh Safari dan WebKit untuk menjalankan kode situs web. Dari sana, penyerang menghancurkan sandbox Safari, batas keamanan yang dirancang untuk mengisolasi konten web berisiko. Infeksi pertama terjadi pada proses GPU dan kemudian bergerak ke layanan sistem iOS yang lebih berprivilese bernama mediaplaybackd. Akhirnya, serangkaian tersebut menggunakan celah kernel untuk meningkatkan hak istimewa dan mengirimkan payload spyware.

Di sisi lain, Google menyatakan bahwa serangkaian tersebut menggunakan beberapa kerentanan di seluruh stack perangkat lunak Apple, termasuk bug korupsi memori di JavaScriptCore, kerentanan dalam ANGLE yang digunakan oleh penanganan grafis Safari, dan masalah kernel di XNU, inti dari iOS. Beberapa celah tersebut dieksploitasi sebagai zero-days, yang berarti penyerang menggunakannya sebelum perbaikan tersedia untuk publik. Peneliti mengatakan bahwa perbaikan telah dikirimkan oleh Apple melalui iOS 18.6, 18.7.2, 18.7.3, 26.1, 26.2, dan 26.3, tergantung pada bug tersebut.

Serangan ini digambarkan sebagai kampanye watering hole. Ini berarti penyerang mengkompromikan situs web yang mungkin dikunjungi target mereka, lalu menggunakan situs tersebut untuk mengirimkan eksploitasi. Google mengklaim bahwa kelompok spionase yang dicurigai, UNC6353, menggunakan DarkSword dalam serangan watering hole di situs web Ukraina, sementara laporan lain menyebutkan bahwa malware ini dirancang untuk menginfeksi siapa saja yang mengunjungi situs Ukraina tertentu dari dalam negeri.

Menurut publikasi tersebut, DarkSword dibuat untuk mencuri kata sandi, foto, riwayat browser, dan pesan dari aplikasi, termasuk WhatsApp dan Telegram, bersama dengan teks SMS. Peneliti juga menemukan kode yang ditujukan untuk aplikasi dompet kripto; namun, tidak bisa dipastikan bahwa tujuan utama penyebaran spyware ini adalah untuk mendapatkan keuntungan finansial.

DarkSword tampaknya dirancang untuk operasi cepat, tidak seperti spyware yang dibuat untuk pengawasan jangka panjang. Peneliti mengatakan waktu tinggalnya di perangkat mungkin diukur dalam menit, cukup lama untuk mengumpulkan dan mengirimkan data sebelum menghilang. GTIG juga membagikan potongan kode yang menunjukkan upaya untuk menghapus log crash, yang akan membuat intrusi lebih sulit untuk dideteksi.

Namun demikian, walaupun tidak mudah untuk memblokir upaya spyware untuk merusak perangkat setelah sudah terinfeksi, pengguna bisa meminimalisir peluang infeksi dengan menghindari situs web yang tidak dikenal atau berisiko tinggi, terutama dalam konteks yang berhubungan dengan konflik atau politik yang sensitif. Menurut GTIG, kelompok hacker di balik spyware juga telah mengerahkan serangkaian eksploitasi di Arab Saudi, Turki, dan Malaysia. Jumlah total perangkat yang terinfeksi sulit untuk diukur.