Predator Spyware Sembunyikan Indikator Kamera dan Mikrofon iOS Lewat Manipulasi SpringBoard
Spyware komersial Predator yang dikembangkan perusahaan Intellexa dilaporkan mampu menyembunyikan indikator perekaman kamera dan mikrofon pada perangkat iOS, meski secara diam-diam tetap melakukan streaming audio dan video ke operatornya.
Teknik ini memungkinkan aktivitas pengawasan berlangsung tanpa terlihat oleh pengguna, meskipun Apple telah menghadirkan sistem indikator privasi sejak iOS 14. Pada sistem tersebut, titik hijau muncul saat kamera aktif dan titik oranye saat mikrofon digunakan.
Tidak Manfaatkan Celah Baru, Gunakan Akses Kernel
Menurut analisis terbaru dari perusahaan manajemen perangkat seluler Jamf, Predator tidak mengeksploitasi kerentanan iOS baru untuk menyembunyikan indikator tersebut. Sebaliknya, spyware ini memanfaatkan akses tingkat kernel yang sebelumnya telah diperoleh untuk memanipulasi komponen sistem yang bertanggung jawab atas notifikasi aktivitas sensor.
Predator diketahui pernah didistribusikan melalui eksploit zero-day pada Apple dan Chrome serta mekanisme infeksi tanpa interaksi pengguna (zero-click). Namun, mekanisme penyembunyian indikator kamera dan mikrofon baru kini terungkap secara teknis.
Hook pada SpringBoard Jadi Kunci
Jamf menemukan bahwa Predator menggunakan satu fungsi hook bernama HiddenDot::setupHook() yang disisipkan ke dalam SpringBoard—komponen inti iOS yang mengelola tampilan antarmuka pengguna.
Fungsi tersebut mencegat metode _handleNewDomainData: yang dipanggil setiap kali terjadi perubahan aktivitas sensor, seperti saat kamera atau mikrofon diaktifkan. Dengan mencegat panggilan ini sebelum mencapai lapisan antarmuka (UI), Predator mencegah sistem menampilkan indikator visual.
Secara teknis, hook tersebut menonaktifkan objek SBSensorActivityDataProvider, yakni komponen yang mengelola agregasi data aktivitas sensor. Dalam arsitektur Objective-C, pemanggilan terhadap objek bernilai null akan diabaikan tanpa memicu error. Akibatnya, SpringBoard tidak pernah memproses perubahan status sensor, dan indikator hijau atau oranye tidak pernah muncul.
Karena SBSensorActivityDataProvider menggabungkan semua aktivitas sensor, satu hook ini cukup untuk menonaktifkan indikator kamera maupun mikrofon sekaligus.
Modul Tambahan dan Jejak Teknis
Peneliti juga menemukan kode yang tampaknya mencoba mengaitkan hook langsung ke SBRecordingIndicatorManager. Namun, kode tersebut tidak pernah dieksekusi dan diduga merupakan pendekatan awal yang kemudian ditinggalkan.
Untuk fitur perekaman VoIP, Predator tidak memiliki mekanisme khusus untuk menyembunyikan indikator. Modul ini tetap mengandalkan fungsi HiddenDot agar aktivitasnya tidak terdeteksi.
Jamf juga mengungkap bahwa akses kamera diaktifkan melalui modul terpisah yang menggunakan teknik pencocokan pola instruksi ARM64 serta manipulasi Pointer Authentication Code (PAC) untuk melewati pemeriksaan izin kamera.
Tanpa indikator di status bar, aktivitas spyware menjadi sepenuhnya tidak terlihat bagi pengguna biasa.
Meski demikian, analisis forensik tingkat lanjut masih dapat mendeteksi tanda-tanda kompromi, seperti pemetaan memori yang tidak lazim, exception port mencurigakan pada proses SpringBoard dan mediaserverd, hook berbasis breakpoint, serta file audio yang ditulis ke jalur tidak biasa oleh mediaserverd.
Hingga laporan ini dipublikasikan, Apple belum memberikan tanggapan resmi atas temuan tersebut.
Kasus ini kembali menyoroti evolusi spyware komersial yang semakin canggih, terutama dalam memanipulasi mekanisme keamanan bawaan sistem operasi untuk menghindari deteksi pengguna.
