Credit image: Freepix
Trojan Perbankan Pembaca Enkripsi Pembajak Android – Dunia keamanan siber kembali dikejutkan dengan kemunculan trojan perbankan Android baru yang sangat canggih bernama Sturnus.
Malware ini bukan hanya sekadar pencuri kredensial bank, ia dirancang untuk mengatasi lapisan keamanan siber yang modern.
Termasuk enkripsi end-to-end dari aplikasi pesan populer seperti Signal, WhatsApp, dan Telegram, serta mampu mengambil kendali penuh atas perangkat korban secara real-time.
Meskipun laporan terbaru menunjukkan bahwa Sturnus masih dalam tahap pengembangan dan pengujian, fungsinya sudah berjalan penuh dan siap menargetkan organisasi keuangan dengan menggunakan templat overlay khusus wilayah.
Menjebol Enkripsi Melalui Layanan Aksesibilitas
Kemampuan Sturnus untuk mencuri pesan dari platform komunikasi terenkripsi adalah fitur yang paling berbahaya dan canggih.
|
Baca juga: Serangan Water Saci Trojan Baru di WhatsApp |
Mencuri Data Pasca Dekripsi
Tidak seperti malware lama yang mencoba mencegat data di jaringan (yang gagal karena enkripsi), Sturnus bekerja setelah pesan tersebut didekripsi dan ditampilkan di layar korban oleh aplikasi yang sah.
Para peneliti menjelaskan bahwa Sturnus menyalahgunakan Layanan Aksesibilitas (Accessibility Services) Android. Layanan ini, yang seharusnya membantu pengguna disabilitas, disalahgunakan oleh malware untuk:
- Membaca Teks di Layar: Sturnus dapat membaca semua yang muncul di layar, termasuk nama kontak, seluruh utas percakapan, dan konten pesan masuk serta keluar, secara real-time.
- Mendeteksi Peluncuran Aplikasi: Mengetahui kapan korban membuka WhatsApp, Telegram, atau Signal, untuk memulai pemantauan.
Karena mengandalkan logging Layanan Aksesibilitas daripada intersepsi jaringan, malware ini dapat membaca semua yang muncul di layar, benar-benar melewati enkripsi end-to-end dengan mengakses pesan setelah didekripsi oleh aplikasi yang sah.
Mengambil Alih Perangkat Secara Penuh
Sturnus juga dilengkapi dengan dukungan untuk kendali jarak jauh penuh melalui sesi VNC (Virtual Network Computing), ditenagai oleh Layanan Aksesibilitas.
- Aksi Tersembunyi: Penyerang dapat mengaktifkan overlay hitam yang meniru layar pembaruan sistem Android palsu untuk menyembunyikan tindakan jahat yang berjalan di latar belakang.
- Tindakan Jahat VNC: Selama layar korban tertutup oleh overlay palsu, penyerang dapat mengklik tombol, memasukkan teks, menggulir, dan menavigasi OS dan aplikasi di ponsel. Tindakan ini dapat mencakup transfer uang dari aplikasi perbankan, menyetujui dialog, menyetujui layar otentikasi multi-faktor (MFA), mengubah pengaturan, atau menginstal aplikasi baru.
Cara Kerja dan Pertahanan Malware Sturnus
Infeksi Sturnus dimulai ketika korban mengunduh file APK berbahaya yang disamarkan sebagai aplikasi yang sah (misalnya, Google Chrome atau Preemix Box).
Pertahanan Diri Sturnus
Setelah terinstal, Sturnus melakukan pertukaran kriptografi dengan Command-and-Control (C2) server untuk mendaftarkan korban.
Ia menggunakan campuran komunikasi plaintext, RSA, dan AES-encrypted untuk bertukar perintah dan mengeksfiltrasi data, termasuk saluran WebSocket terenkripsi AES untuk operasi VNC real-time.
Untuk mempertahankan diri di perangkat korban, Sturnus:
- Mendapatkan Hak Administrator Perangkat: Ini memungkinkan malware melacak perubahan kata sandi dan upaya buka kunci, serta mengunci perangkat dari jarak jauh.
- Mencegah Penghapusan: Malware ini berupaya mencegah pengguna mencabut hak istimewanya atau menghapusnya. Sampai hak administratornya dicabut secara manual, baik penghapusan biasa maupun melalui alat seperti ADB akan diblokir.
Taktik Distribusi dan Target
Saat ini, Sturnus ditemukan tersebar dalam volume rendah, kemungkinan besar untuk pengujian, yang utamanya menargetkan pengguna di Eropa Selatan dan Tengah.
Para peneliti meyakini bahwa malvertising (iklan berbahaya) atau pesan langsung adalah metode distribusi yang paling mungkin digunakan.
|
Baca juga: AsyncRAT: Trojan yang Pandai Beranak-Pinak |
Implikasi Keamanan dan Rekomendasi
Sturnus mewakili evolusi serius dalam ancaman Android, menggunakan fitur-fitur canggih yang umumnya ditemukan pada malware Android kelas atas, dikombinasikan dengan arsitektur yang siap diskalakan.
Serangan ini menggarisbawahi kegagalan keamanan berbasis jaringan melawan serangan yang menggunakan hak akses device-level, menjadi sinyalemen buruk bagi keamanan Android.
Tips Keamanan untuk Pengguna Android
- Hindari Sumber Luar Play Store: Selalu hindari mengunduh file APK dari luar Google Play Store. Meskipun bukan jaminan 100%, Google Play memiliki sistem screening yang jauh lebih baik.
- Aktifkan Play Protect: Pastikan fitur Play Protect tetap aktif di perangkat Anda karena mampu mendeteksi dan memperingatkan adanya malware yang mencoba menggunakan izin berlebihan.
- Waspada Izin Aksesibilitas: Jangan pernah memberikan izin Layanan Aksesibilitas kepada aplikasi pihak ketiga yang Anda curigai, terutama yang tidak terkait langsung dengan fungsi bantuan disabilitas. Izin ini adalah jalan tol bagi malware untuk menguasai perangkat Anda.
- Periksa Hak Administrator: Secara berkala, periksa aplikasi mana yang memiliki hak administrator perangkat (biasanya ditemukan di Pengaturan > Keamanan > Aplikasi Administrator Perangkat) dan cabut segera hak aplikasi yang mencurigakan.
Sumber berita:
