Google bersama dua perusahaan keamanan siber memperingatkan pengguna iPhone tentang eksploit baru yang dapat mencuri data—hanya dengan mengunjungi sebuah situs web melalui perangkat iOS.
DarkSword adalah toolkit peretasan baru yg digunakan oleh aktor jahat secara global. Laporan dari Google Threat Intelligence Group serta perusahaan keamanan Lookout dan iVerify merinci berbagai kerentanan yang digunakan untuk melancarkan serangan terhadap perangkat iOS dengan versi 18.4 hingga 18.7.
Menurut situs developer Apple sendiri, hampir 25 persen iPhone masih menggunakan suatu versi iOS 18. Wired mencatat bahwa ini berarti ratusan juta perangkat iOS berpotensi rentan terhadap DarkSword.
Apa yg membuat DarkSword begitu mengkhawatirkan? Berbeda dari kebanyakan malware, DarkSword tidak perlu diinstal di perangkat target. Korban cukup mengunjungi situs web yg terinfeksi. Dari sana, DarkSword mencuri data pribadi atau keuangan. Dan tak seperti kebanyakan spyware, DarkSword tidak dirancang untuk pengintaian jangka panjang.
“Berbeda dari banyak kasus serangan canggih pada perangkat seluler yg pernah dilaporkan sebelumnya, DarkSword tidak didesain untuk pengawasan berkelanjutan,” tulis Lookout dalam laporannya. “Setelah selesai mengumpulkan dan mengekstraksi data target, ia menghapus file yg dibuatnya di sistem file perangkat dan keluar. Waktu tinggalnya di perangkat kemungkinan dalam hitungan menit, tergantung jumlah data yg ditemukan dan diekstraksi.”
Peretas yg memanfaatkan DarkSword mengambil apa yg mereka inginkan dari korban dalam waktu singkat. Setelah perangkat terinfeksi di-restart, spyware ini hampir tak terdeteksi lagi di perangkat.
DarkSword dapat digunakan untuk menyedot berbagai data pribadi dari perangkat iOS ke aktor jahat. Log panggilan, kontak, kalender, catatan, foto, tangkapan layar, riwayat lokasi, riwayat peramban web, identitas akun yg masuk, keychain perangkat, info kartu SIM, pengaturan Find My, kata sandi WiFi, konten iCloud, dan lainnya dapat dikirim ke ancaman melalui serangan ini. Data iMessage, email, data WhatsApp, data Telegram, bahkan kredensial dompet kripto juga bisa dicuri.
Aspek lain yg mengkhawatirkan dari DarkSword adalah pembersihan jejak kejahatan siber setelahnya. Tidak ada. Peretas yg menggunakan DarkSword meninggalkan kodenya agar dapat diakses dan digunakan oleh siapapun. Selain itu, tampaknya para peretas ini tidak khawatir jika eksploitnya ditemukan, yg menyebabkan penutupan celah keamanan, mengindikasikan mereka mungkin yakin serangan baru yg serupa dapat direplikasi dengan alat baru.
Laporan Google merinci beberapa serangan spesifik yg dilakukan DarkSword. Misalnya, satu insiden awal pada November menargetkan pengguna Arab Saudi melalui situs web bertema Snapchat bernama Snapshare. Situs tersebut mengalihkan pengunjung ke situs Snapchat sah sembari menginfeksi perangkat untuk menyembunyikan aktivitas jahat.
Dalam serangan yg lebih baru awal bulan ini, kelompok peretas yg diduga terkait pemerintah Rusia, dikenal sebagai UNC6353, menggunakan DarkSword untuk menargetkan pengguna iPhone di Ukraina. Kelompok ini berhasil membobol situs berita Ukraina yg sah dan situs web pemerintah resmi untuk menjangkau korbannya.
Dipercaya aktor ancaman ini juga berada di balik eksploit serupa yg ditemukan sebelumnya bernama Coruna awal tahun ini. Toolkit peretasan itu menargetkan perangkat iOS yg lebih lawas yg masih menggunakan versi 13 hingga 17.