Kali ini Mac mendapatkan serangan dari virus yang diam-diam bisa memata-matai penggunanya. Jadi, jika kamu memiliki Mac dan berpikir bahwa kamu kebal terhadap malware, kamu salah.
Bagian malware yang tidak biasa yang bisa mengendalikan webcam, layar, mouse, keyboard, dan menginstal perangkat lunak berbahaya tambahan telah menginfeksi ratusan komputer Mac selama lebih dari lima tahun – dan terdeteksi beberapa bulan yang lalu.
Dijuluki malware FruitFly, malware ini awalnya terdeteksi awal tahun lalu oleh peneliti dari Malwarebytes yaitu Thomas Reed, dan Apple segera merilis patch keamanan untuk mengatasi malware berbahaya tersebut.
Beberapa bulan kemudian, Patrick Wardle, mantan hacker NSA dan sekarang menjadi kepala peneliti keamanan di perusahaan security Synack, menemukan sekitar 400 komputer Mac terinfeksi dengan jenis malware FruitFly yang baru (FruitFly 2) di alam bebas.
Wardle percaya bahwa jumlah Mac yang terinfeksi dengan FruitFly 2 kemungkinan akan jauh lebih tinggi, karena ia hanya memiliki akses ke beberapa server yang digunakan untuk mengendalikan FruitFly.
Meskipun tidak diketahui siapa yang berada di belakang malware FruitFly atau bagaimana malware masuk ke komputer Mac, para periset percaya bahwa malware ini telah aktif selama sekitar sepuluh tahun, karena beberapa kodenya berasal dari tahun 1998.
“Malware FruitFly, perangkat lunak OS X/macOS pertama di tahun 2017, adalah spesimen yang agak menarik. Dengan memilih secara khusus lembaga penelitian biomedis, diperkirakan telah terbang di bawah radar selama bertahun-tahun,” tulis Wardle dalam abstract-of-his-talk, yang akan ia hadiri dalam gelaran Black Hat USA 2017 akhir pekan ini.
Karena vektor infeksi awal untuk FruitFly tidak jelas, seperti kebanyakan perangkat lunak perusak lainnya, Fruitfly kemungkinan bisa menginfeksi Mac melalui situs yang terinfeksi yang akan menginfeksi atau melalui email phishing atau aplikasi jebakan.
FruitFly adalah malware pengintai yang mampu mengeksekusi perintah shell, bergerak dan mengklik kursor mouse, menangkap webcam, menghentikan proses, meraih uptime sistem, mengambil tangkapan layar, dan bahkan memperingatkan peretas saat korban kembali aktif di Mac mereka.
“Satu-satunya alasan mengapa saya dapat memikirkan bahwa malware ini belum pernah ditemukan sebelumnya adalah serangannya sangat ketat, sehingga membatasi eksposurnya,” tulis Reed dalam posting blog bulan Januari.
“Meskipun tidak ada bukti pada saat ini yang menghubungkan malware ini dengan kelompok tertentu, fakta bahwa hal itu telah terlihat secara khusus di lembaga penelitian biomedis yang tampaknya bisa menjadi hasil spionase semacam itu.”
Wardle mampu mengungkap korban FruitFly setelah mendaftarkan server command-and-control (C&C) cadangan yang pernah digunakan oleh penyerang. Dia kemudian melihat sekitar 400 pengguna Mac terinfeksi FruitFly mulai terhubung ke server tersebut.
Dari situ, peneliti juga bisa melihat alamat IP dari korban yang terinfeksi FruitFly, yang mengindikasikan 90 persen korban berada di Amerika Serikat.
Wardle bahkan bisa melihat nama Mac korban juga, membuatnya “sangat mudah untuk mengatakan dengan cukup akurat siapa yang terinfeksi,” katanya kepada Forbes.
Tapi alih-alih mengambil alih komputer atau memata-matai korban, Wardle menghubungi petugas penegak hukum dan menyerahkan apa yang dia temukan ke agen penegak hukum, yang sekarang mulai menyelidiki masalah tersebut.
Wardle yakin pengawasan adalah tujuan utama FruitFly, meski belum jelas apakah itu pemerintah atau kelompok hacker lainnya.
“Ini tidak terlihat seperti perilaku jenis kejahatan cyber, tidak ada iklan, tidak ada keylogger, atau ransomware,” kata Wardle. “Fiturnya tampak seperti tindakan yang akan mendukung interaktivitas – ia memiliki kemampuan untuk memperingatkan penyerang saat pengguna aktif di komputer, bisa meniru klik mouse dan masukan keyboard.”
Karena kode Fruitfly bahkan termasuk perintah shell Linux, malware tersebut akan bekerja dengan baik di sistem operasi Linux. Jadi, tidak mengherankan bila varian dari Fruitfly jika beroperasi.
