Dalam beberapa tahun terakhir, perangkat lunak mata-mata komersial telah digunakan oleh lebih banyak pihak terhadap sejumlah korban yang lebih luas, namun narasi yang berlaku masih bahwa malware digunakan dalam serangan yang ditargetkan terhadap jumlah orang yang sangat sedikit. Pada saat yang sama, namun, sulit untuk memeriksa perangkat untuk infeksi, sehingga individu harus menjelajahi berbagai lembaga akademis dan LSM yang telah berada di garis depan dalam mengembangkan teknik forensik untuk mendeteksi perangkat lunak mata-mata mobile. Pada hari Selasa, perusahaan keamanan perangkat mobile iVerify akan menerbitkan temuan dari fitur deteksi spyware yang diluncurkan pada bulan Mei. Dari 2.500 pemindaian perangkat yang dipilih oleh pelanggan perusahaan untuk diajukan untuk inspeksi, tujuh di antaranya terinfeksi oleh malware NSO Group yang terkenal sebagai Pegasus.
Fitur Pengejaran Ancaman Mobile perusahaan menggunakan kombinasi deteksi berbasis tanda tangan malware, heuristik, dan pembelajaran mesin untuk mencari anomali dalam aktivitas perangkat iOS dan Android atau tanda-tanda jelas infeksi spyware. Bagi pelanggan iVerify yang membayar, alat ini secara teratur memeriksa perangkat untuk potensi kompromi. Namun, perusahaan juga menawarkan versi gratis dari fitur ini bagi siapa pun yang mengunduh aplikasi iVerify Basics seharga $1. Pengguna ini dapat mengikuti langkah-langkah untuk menghasilkan dan mengirimkan file utilitas diagnostik khusus ke iVerify dan menerima analisis dalam hitungan jam. Pengguna gratis dapat menggunakan alat ini sekali sebulan. Infrastruktur iVerify dibangun untuk menjaga privasi, namun untuk menjalankan fitur Pengejaran Ancaman Mobile, pengguna harus memasukkan alamat email sehingga perusahaan memiliki cara untuk menghubungi mereka jika pemindaian menemukan spyware—seperti yang terjadi dalam tujuh penemuan Pegasus baru-baru ini.
“Hal yang sangat menarik adalah bahwa orang yang ditargetkan bukan hanya jurnalis dan aktivis, tetapi juga pemimpin bisnis, orang yang menjalankan perusahaan komersial, dan orang dalam posisi pemerintah,” kata Rocky Cole, chief operating officer iVerify dan mantan analis Badan Keamanan Nasional Amerika Serikat. “Ini lebih mirip dengan profil penargetan rata-rata malware biasa atau kelompok APT daripada narasi yang beredar bahwa perangkat lunak mata-mata mercenary disalahgunakan untuk menargetkan aktivis. Memang begitu, tetapi penelusuran ini terhadap masyarakat ini mengejutkan untuk ditemukan.”
Tujuh dari 2.500 pemindaian mungkin terdengar seperti kelompok kecil, terutama dalam basis pelanggan iVerify yang agak memilih sendiri, baik yang membayar maupun gratis, yang ingin memantau keamanan perangkat mobile mereka sama sekali, apalagi memeriksa khusus untuk spyware. Namun, fakta bahwa alat ini sudah menemukan beberapa infeksi sama sekali menunjukkan seberapa luas penggunaan spyware telah menyebar di seluruh dunia. Memiliki alat yang mudah untuk mendiagnosa kompromi spyware mungkin akan memperluas gambaran seberapa sering malware tersebut digunakan.
“NSO Group menjual produk-produknya secara eksklusif kepada lembaga intelijen dan penegak hukum AS & Israel yang disaring,” kata juru bicara NSO Group Gil Lainer kepada WIRED dalam sebuah pernyataan. “Pelanggan kami menggunakan teknologi ini setiap hari.”
iVerify mengatakan bahwa diperlukan investasi besar untuk mengembangkan alat deteksi tersebut karena sistem operasi mobile seperti Android, dan terutama iOS, lebih tertutup daripada sistem operasi desktop tradisional dan tidak mengizinkan perangkat lunak pemantauan untuk memiliki akses kernel diinti sistem. Cole mengatakan bahwa wawasan penting adalah menggunakan telemetri yang diambil dari sejauh mungkin ke kernel untuk menyetel model pembelajaran mesin untuk deteksi. Beberapa perangkat lunak mata-mata, seperti Pegasus, juga memiliki ciri khas yang memudahkan untuk menandainya. Dalam tujuh deteksi, Pengejaran Ancaman Mobile menangkap Pegasus menggunakan data diagnostik, log shutdown, dan log crash. Namun, tantangannya, kata Cole, adalah dalam menyempurnakan alat pemantauan mobile untuk mengurangi positif palsu.
Mengembangkan kemampuan deteksi sudah sangat berharga. Cole mengatakan bahwa hal itu membantu iVerify mengidentifikasi tanda-tanda kompromi di smartphone Gurpatwant Singh Pannun, seorang pengacara dan aktivis politik Sikh yang menjadi target percobaan pembunuhan yang diduga gagal oleh pegawai pemerintah India di New York City. Fitur Pengejaran Ancaman Mobile juga menandai aktivitas negara bagian yang dicurigai pada perangkat mobile dua pejabat kampanye Harris-Walz—anggota senior kampanye dan anggota departemen TI—selama perlombaan presiden.
“Zaman mengasumsikan bahwa iPhone dan ponsel Android aman dari kotak sudah berakhir,” kata Cole. “Jenis kemampuan untuk mengetahui apakah ponsel Anda terinfeksi spyware tidak tersebar luas. Ada hambatan teknis dan banyak orang ditinggalkan. Sekarang Anda memiliki kemampuan untuk mengetahui apakah ponsel Anda terinfeksi oleh perangkat lunak mata-mata komersial. Dan tingkat itu jauh lebih tinggi daripada narasi yang beredar.”