Para peneliti keamanan telah mengungkap trojan perbankan Android baru yang canggih dengan kemampuan mengkhawatirkan yang dapat membahayakan jutaan pengguna. Dijuluki "Sturnus", malware ini mewakili evolusi signifikan dalam ancaman seluler, menggabungkan perekaman layar, pengambilalihan perangkat, dan teknik rekayasa sosial untuk melewati bahkan platform perpesanan terenkripsi dan mencuri informasi keuangan sensitif.
Kemampuan canggih malware Sturnus
Sturnus menunjukkan tingkat kecanggihan yang mengkhawatirkan yang membedakannya dari malware seluler biasa. Trojan ini beroperasi dengan menampilkan jendela login palsu yang meyakinkan yang melapisi aplikasi perbankan sah, mengelabui pengguna untuk memasukkan kredensial mereka yang kemudian langsung dikirim ke penyerang. Yang membuat Sturnus sangat berbahaya adalah kemampuannya untuk menangkap konten dari platform perpesanan terenkripsi seperti WhatsApp, Signal, dan Telegram dengan merekam layar perangkat setelah pesan didekripsi dan ditampilkan. Pendekatan ini secara efektif melewati enkripsi ujung-ke-ujung tanpa memecah protokol kriptografi yang mendasarinya, mewakili solusi pintas yang menurut para peneliti keamanan sangat mengkhawatirkan.
Kemampuan Utama Malware Sturnus:
- Rekaman layar pesan terdekripsi dari WhatsApp, Signal, dan Telegram
- Overlay aplikasi perbankan palsu untuk pencurian kredensial
- Kontrol dan pengamatan perangkat jarak jauh
- Layar pembaruan Android palsu untuk rekayasa sosial
- Penyalahgunaan layanan aksesibilitas untuk membaca layar dan pembuatan overlay
Cara malware menyebar dan mendapatkan kendali
Vektor infeksi untuk Sturnus terutama melibatkan file APK yang diunduh dari luar (sideloaded) yang disebarkan melalui aplikasi perpesanan sebagai lampiran. Setelah terinstal, malware menyamarkan dirinya sebagai aplikasi pihak pertama seperti Chrome atau Gmail untuk menghindari kecurigaan. Kemudian malware menyalahgunakan layanan Aksesibilitas Android, khususnya izin "Draw over other apps", untuk membaca konten layar, merekam sesi pengguna, dan membuat lapisan (overlay) yang meyakinkan pada aplikasi perbankan. Malware bahkan menghasilkan layar pembaruan Android palsu untuk terlihat sah dan mendapatkan kepercayaan pengguna, sebuah taktik rekayasa sosial yang terbukti efektif dalam serangan awal yang dilaporkan di Eropa Selatan dan Tengah.
Ancaman akses jarak jauh dan pengambilalihan perangkat
Di luar pencurian data, Sturnus memberikan kemampuan kendali jarak jauh yang signifikan kepada penyerang yang memungkinkan pengambilalihan perangkat sepenuhnya. Pelaku jahat dapat mengamati aktivitas pengguna secara real-time, mendorong teks ke perangkat, dan bahkan mematikan layar selama transaksi penipuan untuk mencegah deteksi. Tingkat akses jarak jauh ini memungkinkan penyerang untuk melakukan transaksi perbankan tanpa izin sementara pengguna sah tetap tidak menyadari adanya pembobolan. Kombinasi perekaman layar, pencurian kredensial, dan kendali jarak jauh menciptakan badai sempurna untuk penipuan keuangan yang dapat menghancurkan korban secara finansial.
Status saat ini dan langkah-langkah perlindungan
Untungnya, Sturnus tampaknya masih dalam fase pengembangan atau pengujian dengan penyebaran terbatas sejauh ini. Google telah mengonfirmasi bahwa tidak ada aplikasi yang mengandung malware ini yang ditemukan di Google Play Store, berkat kemampuan pemindaian Play Protect. Namun, para peneliti memperingatkan bahwa para penyerang tampaknya sedang menyempurnakan alat mereka untuk serangan yang lebih luas di masa depan. Pengguna dapat melindungi diri sendiri dengan berpegang pada toko aplikasi resmi, secara teratur meninjau aplikasi mana yang memiliki izin aksesibilitas, mengaktifkan autentikasi dua faktor untuk aplikasi perbankan, menjaga perangkat mereka tetap mutakhir dengan patch keamanan terbaru, dan menghindari tautan atau lampiran mencurigakan dalam pesan.
Dampak Saat Ini:
- Serangan terbatas yang ditargetkan di Eropa Selatan dan Tengah
- Tidak ada infeksi yang terdeteksi dari Google Play Store
- Dipercaya sedang dalam fase pengembangan/pengujian
- Potensi serangan yang lebih luas diperkirakan setelah penyempurnaan
Lanskap ancaman keamanan seluler yang terus berkembang
Kemunculan Sturnus menyoroti evolusi berkelanjutan dari malware seluler dan pentingnya mempertahankan kebersihan keamanan dasar. Meskipun ancamannya terdengar mengkhawatirkan, sebagian besar pengguna yang mengikuti praktik keamanan standar—seperti menghindari aplikasi yang diunduh dari luar (sideloaded) dan menjaga perangkat mereka tetap mutakhir—menghadapi risiko minimal. Para peneliti keamanan dan Google sudah mengerjakan pertahanan terhadap ancaman spesifik ini, menunjukkan bagaimana ekosistem keamanan biasanya merespons dengan cepat terhadap bahaya baru. Penemuan ini berfungsi sebagai pengingat tepat waktu bahwa sementara platform seluler terus meningkatkan keamanan mereka, pengguna harus tetap waspada tentang izin yang mereka berikan dan sumber yang mereka percayai untuk instalasi aplikasi.