Image credit: magnific
TrickMo Trojan Perbankan yang Jago Spionase – Para peneliti keamanan siber telah mengidentifikasi versi terbaru dari trojan perbankan Android yang berbahaya.
TrickMo. Varian baru yang terpantau pada awal tahun 2026 ini menunjukkan evolusi teknis yang signifikan dengan memanfaatkan The Open Network (TON).
TON berfungsi sebagai infrastruktur perintah dan kontrol (C2), sebuah langkah cerdas untuk menghindari pelacakan tradisional.
Malware ini secara aktif menargetkan pengguna aplikasi perbankan dan dompet mata uang kripto di wilayah Eropa, khususnya Prancis, Italia, dan Austria dengan kemampuan barunya,
TrickMo bukan lagi sekadar pencuri data, melainkan alat spionase jaringan yang mampu menyusup ke infrastruktur rumah atau perusahaan melalui perangkat korban.
Memanfaatkan Blockchain TON
TrickMo versi terbaru, yang diberi label TrickMo C, menggunakan pendekatan unik untuk berkomunikasi dengan server peretas:
- Komunikasi Tersembunyi: Malware ini membawa proksi TON asli yang tertanam di dalamnya. Semua perintah dikirim melalui loopback port ke hostname dengan akhiran .adnl yang diselesaikan melalui jaringan overlay TON.
- Sulit Diblokir: Karena tidak mengandalkan DNS konvensional atau infrastruktur internet publik standar, teknik ini membuat upaya pemblokiran jaringan dan penutupan server (takedown) oleh tim keamanan menjadi sangat sulit. Lalu lintas malware akan membaur dengan aktivitas sah di jaringan TON.
|
Baca juga: Jebakan Nyaman Keamanan Siber |
Perangkat Korban Sebagai Pintu Masuk Jaringan
Perubahan arsitektur pada modul intinya (“dex.module”) kini mendukung perintah jaringan seperti curl, dnslookup, ping, dan traceroute. Hal ini memberikan kemampuan kepada penyerang untuk:
- Pengintaian Jaringan: Melakukan pemindaian jaringan internal (Wi-Fi rumah atau kantor) langsung dari posisi perangkat korban.
- SOCKS5 Proxy & SSH Tunneling: Mengubah ponsel yang terinfeksi menjadi titik keluar lalu lintas internet (traffic-exit node). Dengan cara ini, peretas dapat melakukan transaksi ilegal menggunakan alamat IP korban, sehingga berhasil mengelabui sistem deteksi penipuan perbankan yang biasanya mencurigai akses dari lokasi asing.
Metode Distribusi dan Penyamaran
Peretas menggunakan taktik rekayasa sosial untuk memancing korban:
- Aplikasi Dropper: Didistribusikan melalui iklan atau tautan di Facebook, biasanya menyamar sebagai versi “dewasa” dari aplikasi populer seperti TikTok.
- Penyamaran Inti: Setelah terpasang, malware utama akan menyamar sebagai layanan sistem yang tepercaya, yaitu Google Play Services, agar pengguna tidak merasa curiga saat melihat daftar aplikasi yang berjalan.
TrickMo tetap mempertahankan kemampuan dasarnya yang mematikan, seperti penyalahgunaan layanan aksesibilitas untuk mencuri kode OTP, merekam ketukan papan ketik (keylogging), hingga melakukan streaming layar secara langsung di bawah kendali penuh operator jarak jauh.
|
Baca juga: Peretas yang Sembunyi di Draf Outlook |
Mitigasi bagi Pengguna Android
Mengingat kecanggihan TrickMo dalam menyembunyikan jejak komunikasinya, berikut adalah langkah-langkah mitigasi yang disarankan oleh para peneliti:
- Waspadai Sumber Aplikasi: Hindari mengunduh aplikasi (terutama format APK) dari tautan di media sosial seperti Facebook atau situs web pihak ketiga. Selalu gunakan toko aplikasi resmi.
- Audit Layanan Aksesibilitas: Periksa secara berkala aplikasi apa saja yang memiliki izin “Accessibility Services”. Jika ada aplikasi mencurigakan atau aplikasi yang tampak seperti layanan sistem meminta izin ini, segera matikan dan hapus aplikasi tersebut.
- Gunakan Autentikasi yang Lebih Aman: Jika memungkinkan, beralihlah dari OTP berbasis SMS ke autentikator berbasis perangkat keras atau aplikasi autentikator yang tidak bergantung pada pembacaan SMS.
- Pantau Penggunaan Data dan Baterai: Lonjakan penggunaan data yang tidak wajar atau baterai yang cepat habis bisa menjadi indikasi adanya aktivitas proksi atau streaming layar di latar belakang oleh malware.
- Gunakan Proteksi dari ESET: Solusi keamanan dari ESET untuk Android dapat mendeteksi keberadaan modul “dex.module” yang dimuat secara dinamis dan memblokir aktivitas proksi mencurigakan yang mencoba menyamarkan lalu lintas melalui jaringan TON.
Ancaman Masa Depan
Para peneliti juga menemukan fitur tidur (dormant) di dalam kode TrickMo yang terkait dengan izin NFC dan kerangka kerja hooking Pine.
Hal ini mengindikasikan bahwa pengembang TrickMo sedang merencanakan pembaruan masa depan untuk bisa mencuri data kartu pembayaran secara nirkabel atau memanipulasi aplikasi perbankan secara lebih mendalam langsung dari memori sistem.
Saat ini kewaspadaan terhadap integritas perangkat seluler bukan lagi pilihan, melainkan keharusan untuk melindungi aset finansial dan privasi digital Anda.
Sumber berita:
