"TajMahal", Spyware Canggih yang Sulit Terdeteksi | BECABUILT

“TajMahal”, Spyware Canggih yang Sulit Terdeteksi

Jakarta, becabuilt.technology – Sejumlah peneliti keamanan siber (cybersecurity) menemukan sebuah spyware canggih yang telah beroperasi selama lima tahun terakhir. Sayangnya, operasional spyware ini sulit terdeteksi hingga kini.
Spyware adalah sebuah perangkat lunak atau aplikasi yang dibuat untuk mematai-matai seseorang. Kaspersky Lab menjuluki spyware itu dengan sebutan TajMahal.
“Sayangnya, Kaspersky tidak menjelaskan mengapa mereka menamakan itu dengan ‘TajMahal’, salah satu dari tujuh keajaiban dunia di India,” tulis Hacker News yang diakses, Kamis (11/4/2019).
TajMahal pertama kali ditemukan oleh sejumlah peneliti keamanan siber akhir tahun lalu. Saat itu, sejumlah para peretas (hacker) menggunakan TajMahal untuk memata-matai komputer milik organisasi diplomatik sebuah negara di Asia Tengah. Namun, sejauh ini belum diketahui negara mana yang dimatai-matai oleh peretas.
Hacker News menuliskan, sampel malware TajMahal yang diteliti peneliti menunjukkan adanya kelompok cyberespionage di belakang serangan itu. Setidaknya, kelompok spionase tersebut aktif sejak Agustus 2014.
Sekadar diketahui, malware (malicious software) adalah peranti lunak jahat yang dipakai untuk merusak sebuah sistem komputer.
TajMahal terdiri atas dua paket utama, yaitu Tokyo dan Yokohama. Keduanya terdiri dari lebih 80 komponen berbeda yang berbahaya. Itu jumlah plug-in (kode software dengan fungsi tertentu; istilah lain seperti add-on atau extension) terbanyak yang pernah dilihat peneliti dalam satu peranti lunak.
“Itu sudah termasuk pintu belakang (backdoors), loaders, orchestrators, C2 communicators, perekam audio, keylogger, penangkap layar dan webcam, pencuri kunci dokumen dan kriptografi, bahkan pengindeks file untuk mesin korban,” kata peneliti.
Peneliti sejauh ini belum menemukan bagaimana TajMahal menginfeksi target untuk pertama kali. Namun, peneliti memperkirakan, setelah malware itu diakses, infeksi pertama, yaitu mengunduh Tokyo pada komputer korban. Selanjutnya, malware kedua, Yokohama, barulah beroperasi penuh.
Yokohama menyimpan komponen jahat dalam sistem file virtual (VFS) terenkripsi yang memungkinkan malware itu bekerja untuk:

pembobol tombol log
mencuri cookie dan data browser, termasuk cadangan untuk perangkat seluler Apple
merekam dan mengambil tangkapan gambar dari panggilan Voice over Internet Protocol (VoIP)–teknologi untuk percakapan suara jarak jauh melalui internet.
mencuri gambar cakram padat (CD), dan
mencuri dokumen yang dikirim ke printer.

Selain kemampuan memata-matai, tulis Hacker News, malware itu juga bisa meminta untuk mencuri file tertentu dari perangat USB yang sebelumnya dipasang. Jadi, ketika USB tersebut suatu kali dicolokkan ke komputer yang terinfeksi, file-file di komputer bisa dicuri.