Telset.id, Jakarta – Pada tahun 2013 FinFisher aka FinSpy pernah menyusup dan menyerang Indonesia membuat gempar jagad maya di tanah air. ESET mengamati aktivitas FinFisher/FinSpy ini pada perangkat komunikasi mobile yaitu di iPhones dan Blackberry dan kemungkinan menjangkiti OS yang lain pula.
Varian terbaru FinFisher memiliki kemampuan memata-matai yang luas, seperti pengawasan langsung melalui webcam dan mikrofon, keylogging, dan pengarsipan file. Apa yang membuat FinFisher berbeda dari alat pengawasan lainnya adalah bagaimana FinFisher dijual bebas dan dipasarkan sebagai alat penegakan hukum dan diyakini telah digunakan oleh banyak pemerintah. ESET menemukan varian FinFisher terbaru ini beredar di tujuh negara. Sayangnya ESET tidak bisa mengungkapkan negara mana saja yang telah disusupi, agar tidak membahayakan keselamatan siapa pun.
Operasi gelap FinFisher atau yang dikenal dalam deteksi ESET sebagai Win32/FinSpy pada 12 September 2017 dengan versi deteksi database 16072 diketahui telah menggunakan berbagai mekanisme infeksi, termasuk spearphishing, instalasi manual dengan akses fisik ke perangkat, eksploitasi zero day, dan serangan watering hole, yaitu menulari situs yang diperkirakan akan dikunjungi.
Apa yang baru dan yang paling meresahkan dari operasi baru adalah dalam hal distribusi yang menggunakan serangan man-in-the-middle (MITM) oleh pelaku yang kemungkinan besar beroperasi di tingkat ISP. ESET telah melihat vektor ini digunakan di dua negara di mana sistem ESET mendeteksi spyware FinFisher terbaru sementara di lima negara yang tersisa, operasi tersebut mengandalkan distribusi konvensional.
Cara Kerja FinSpy sangat sukar diketahui pasalnya pengguna yang menjadi target pengawasan ingin mengunduh salah satu dari beberapa aplikasi populer dan legitimate, aplikasi tersebut diarahkan ke versi aplikasi yang terinfeksi FinFisher.
Aplikasi yang telah kita lihat disalahgunakan untuk menyebarkan FinFisher adalah WhatsApp, Skype, WinRAR, VLC Player dan beberapa lainnya. Penting untuk dicatat bahwa hampir semua aplikasi dapat disalahgunakan dengan cara ini.
Serangan dimulai dengan pengguna mencari salah satu aplikasi yang terpengaruh di situs web yang sah. Setelah pengguna mengklik tautan unduhan, browser mereka dilayani dengan tautan yang dimodifikasi dan diarahkan ke paket pemasangan trojan yang diinangi di server pelaku. Saat diunduh dan dijalankan, aplikasi tidak hanya menginstal aplikasi yang sah, namun juga spyware FinFisher berjalan bersamaan dengannya.
Pengalihan dilakukan dengan tautan unduhan yang sah diganti dengan yang sudah terpapar FinSpy. Tautan jahat dikirim ke browser pengguna melalui HTTP 307. Kode respon status pengalihan sementara menunjukkan bahwa konten yang diminta telah dipindah sementara ke URL baru. Seluruh proses pengalihan terjadi tanpa sepengetahuan pengguna dan tidak terlihat oleh mata telanjang. (MS)
