Sekali Buka Situs, DarkSword Bisa Bobol iPhone dalam Menit-Menit Kritis

Ancaman baru pada iPhone menunjukkan bahwa satu kali kunjungan ke situs web yang sudah disusupi bisa cukup untuk membuka jalan bagi spyware berbahaya. Temuan ini penting karena serangan tidak memerlukan klik tambahan, instalasi aplikasi, atau interaksi rumit dari korban.

Peneliti keamanan menyebut toolkit ini sebagai DarkSword. Alat ini dilaporkan dipakai dalam kampanye yang menargetkan pengguna di Ukraina dan memanfaatkan rangkaian celah keamanan untuk mengambil alih perangkat, mencuri data, lalu menghapus jejak dalam hitungan menit.

Apa itu DarkSword dan mengapa berbahaya

Google Threat Intelligence Group bersama Lookout dan iVerify mengidentifikasi serangan iOS full-chain exploit yang memanfaatkan beberapa zero-day sekaligus. Full-chain exploit berarti penyerang merangkai sejumlah bug agar bisa bergerak dari halaman web biasa hingga memperoleh kendali luas atas iPhone.

Serangan dimulai dari JavaScriptCore, mesin yang dipakai Safari dan WebKit untuk menjalankan kode situs web. Dari titik itu, penyerang mencoba keluar dari sandbox Safari, yaitu lapisan pembatas yang seharusnya mengisolasi konten web berisiko.

Setelah lolos dari sandbox, serangan disebut bergerak ke proses GPU. Berikutnya, akses diperluas ke layanan sistem iOS yang lebih tinggi bernama mediaplaybackd.

Tahap akhir memakai celah pada kernel untuk meningkatkan hak akses lebih jauh. Dengan cara itu, spyware dapat dipasang dan mulai mengambil data dari perangkat.

Google menjelaskan rantai serangan ini melibatkan beberapa kelemahan di berbagai lapisan perangkat lunak Apple. Di antaranya ada bug korupsi memori pada JavaScriptCore, celah pada ANGLE yang dipakai Safari untuk pengolahan grafis, serta masalah pada XNU sebagai inti sistem operasi iOS.

Sebagian celah itu dieksploitasi sebagai zero-day. Artinya, penyerang memakainya sebelum perbaikan tersedia secara publik.

Siapa yang jadi target

Serangan ini digambarkan sebagai watering hole campaign. Dalam metode ini, pelaku meretas situs yang kemungkinan besar akan dikunjungi target, lalu menyisipkan eksploit agar infeksi terjadi saat halaman dibuka.

Google menyebut kelompok spionase yang diduga terkait Rusia, UNC6353, menggunakan DarkSword dalam serangan watering hole terhadap situs-situs Ukraina. TechCrunch juga melaporkan malware ini dirancang untuk menginfeksi siapa pun yang mengunjungi situs Ukraina tertentu dari dalam wilayah negara tersebut.

Menurut GTIG, rantai eksploit yang sama juga pernah dikerahkan di Arab Saudi, Turki, dan Malaysia. Jumlah pasti perangkat yang terinfeksi masih sulit dipastikan.

Data apa yang diburu spyware ini

Laporan peneliti menyebut DarkSword dirancang untuk mencuri berbagai data sensitif dari iPhone. Targetnya mencakup kata sandi, foto, riwayat penelusuran, pesan dari aplikasi seperti WhatsApp dan Telegram, serta SMS.

Peneliti juga menemukan kode yang mengarah ke aplikasi dompet kripto. Namun, belum ada dasar kuat untuk memastikan bahwa tujuan utama operasi ini murni keuntungan finansial.

Berbeda dari spyware pengawasan jangka panjang, DarkSword tampaknya dibuat untuk operasi cepat. Masa tinggalnya di perangkat diduga hanya beberapa menit, cukup untuk mengumpulkan data dan mengirimkannya keluar sebelum menghilang.

GTIG turut membagikan potongan kode yang menunjukkan upaya menghapus crash log. Langkah itu dapat membuat intrusi lebih sulit dideteksi oleh korban maupun analis forensik.

Versi iOS yang terdampak

Laporan menyebut serangan ini hanya menargetkan iPhone dengan versi iOS 18 tertentu. Apple disebut telah menambal celah-celah yang relevan melalui pembaruan keamanan di iOS 18.6, 18.7.2, 18.7.3, 26.1, 26.2, dan 26.3, tergantung bug yang dipakai dalam rantai serangan.

Temuan ini menegaskan bahwa pembaruan sistem bukan sekadar fitur rutin. Dalam kasus seperti ini, update menjadi lapisan pertahanan utama terhadap eksploit yang sudah diketahui vendor.

Cara kerja serangan secara ringkas

1. Korban membuka situs yang telah diretas.
2. Kode berbahaya dieksekusi lewat JavaScriptCore di Safari.
3. Penyerang keluar dari sandbox Safari.
4. Akses diperluas ke proses GPU dan layanan mediaplaybackd.
5. Celah kernel dipakai untuk mendapat hak akses lebih tinggi.
6. Spyware dipasang, data dicuri, lalu jejak dihapus.

Langkah pencegahan yang disarankan

1. Segera perbarui iPhone ke versi iOS paling baru yang tersedia.
2. Hindari membuka situs yang tidak dikenal atau berisiko tinggi.
3. Waspadai tautan dari konteks konflik, politik, atau isu sensitif.
4. Gunakan kebiasaan browsing yang lebih hati-hati saat mengakses situs berita lokal atau regional yang tidak sepenuhnya tepercaya.

Peneliti menekankan bahwa setelah perangkat berhasil ditembus, pencegahan menjadi jauh lebih sulit. Karena itu, kombinasi antara pembaruan iOS yang cepat dan kewaspadaan saat membuka situs web tetap menjadi langkah paling realistis untuk mengurangi risiko dari spyware seperti DarkSword.