Rokarolla Android Kuras 217 Aplikasi Bank dan Kripto

Rokarolla Android Kuras 217 Aplikasi Bank dan Kripto – Sektor keamanan perangkat seluler kembali dihentak oleh kemunculan varian malware Android yang sangat agresif dan berbahaya.

Sebuah laporan investigasi terbaru yang dirilis oleh peneliti keamanan membongkar keberadaan trojan perbankan baru bernama Rokarolla.

Tidak tanggung-tanggung, malware ini dirancang khusus untuk membidik 217 aplikasi perbankan serta aset mata uang kripto (cryptocurrency) menggunakan rangkaian perintah kontrol yang sangat masif, mencapai 137 perintah operasional.

Modus penyebaran biner jahat ini mengandalkan situs web penipuan yang menyamar sebagai penyedia unduhan resmi untuk aplikasi populer seperti Google Chrome atau TikTok.

Begitu berhasil menyusup ke dalam sistem gawai, Rokarolla memiliki kemampuan merusak tingkat tinggi yang memungkinkannya memegang kendali administratif mutlak atas perangkat Android milik korban.

Menyamar sebagai Google Play Protect

Alur infeksi Rokarolla berjalan melalui strategi penyamaran yang sangat rapi untuk menipu nalar kewaspadaan pengguna gawai:

1. Taktik Kedok Ringan (Dropper).

Saat pertama kali diunduh dari situs web berbahaya, aplikasi ini bertindak sebagai pembuat jalan (dropper) yang memalsukan identitasnya sebagai Google Play Protect, sistem pertahanan anti-malware bawaan resmi milik Android.

2. Jebakan Opsi Pemasangan.

Di dalam layar instalasi palsu tersebut, aplikasi menawarkan opsi kepada pengguna untuk memasang Google Chrome atau TikTok.

Ketika pengguna menyetujui proses tersebut, sistem sebenarnya sedang memasang aplikasi yang telah diinfeksi oleh muatan utama malware Rokarolla.

3. Eksploitasi Hak Istimewa Aksesibilitas.

Begitu aplikasi berhasil diluncurkan di perangkat, Rokarolla secara agresif akan meminta persetujuan izin layanan Aksesibilitas (Accessibility services), serta akses penuh terhadap sistem notifikasi, pesan SMS, dan panggilan telepon pengguna.

Metode Pemetaan Korban

Setelah berhasil mengamankan izin Aksesibilitas gawai, Rokarolla segera membuka jalur komunikasi awal dengan server komando dan kendali (Command and Control/C2) miliknya.

Pengiriman data perdana berupa profil dasar perangkat gawai korban, yang mencakup informasi:

• Model ponsel.
• Versi OS Android yang terpasang.
• Pengaturan lokal wilayah.
• Karakteristik visual layar.
• Persentase daya baterai.
• Kapasitas ruang penyimpanan.
• Sisa RAM yang tersedia.

Informasi spesifikasi gawai ini dimanfaatkan oleh peretas sebagai cetak biru untuk menghasilkan kode identitas unik (unique identifier) bagi setiap korban di dalam kampanye Rokarolla.

Misi utama dari penciptaan Rokarolla murni didasari oleh motivasi ekonomi, yaitu perampokan informasi finansial nasabah.

Sistem malware akan memindai seluruh isi gawai dan mencocokkannya dengan daftar 217 aplikasi keuangan yang menjadi target operasi mereka.

Mekanisme Pencurian via Layar Tiruan

Jika ditemukan adanya aplikasi yang cocok, malware akan langsung mengunduh muatan phising yang sesuai dengan identitas bank tersebut dari server C2.

Ketika korban membuka salah satu aplikasi perbankan yang masuk dalam daftar target, Rokarolla akan meluncurkan serangan hamparan tiruan (fake login overlay) di atas layar aplikasi yang asli.

Layar palsu ini bertugas memanen kredensial log masuk (username & kata sandi), informasi kartu kredit, serta data keuangan sensitif lainnya.

Taktik penggunaan layar hamparan (overlays) ini juga dieksploitasi oleh peretas untuk tujuan lain:

• Mencuri Kunci Layar: Malware menampilkan layar hamparan palsu untuk merekam kode PIN atau pola kunci layar (lock-screen PIN/pattern) pengguna, sehingga peretas tetap dapat mengoperasikan gawai meskipun dalam kondisi terkunci.
• Membungkam Interaksi Pengguna: Layar hamparan berupa proses instalasi palsu akan dimunculkan untuk menyembunyikan aktivitas mencurigakan malware di latar belakang, sekaligus memblokir interaksi sentuhan jari pengguna pada layar ponsel.

Perintah Berbahaya dan Menghindari Deteksi

Peneliti bahkan telah membuat sebuah repositori khusus di platform GitHub untuk mendokumentasikan seluruh daftar 137 perintah yang dapat dieksekusi oleh operator Rokarolla.

Beberapa perintah spesifik yang digunakan untuk menguras isi gawai korban meliputi:

• Membajak dan mencuri seluruh pesan SMS masuk dan keluar.
• Mengekstraksi informasi daftar kontak gawai serta daftar kontak pada aplikasi WhatsApp.
• Mengaktifkan fitur pencatat ketukan papan tik (keylogger) untuk merekam setiap input teks pengguna.
• Merekam seluruh konten yang muncul di layar gawai melalui fitur pencatatan log antarmuka (UI logging).
• Menyalin serta memanipulasi isi papan klip (clipboard contents) gawai.
• Memblokir panggilan telepon masuk serta menyaring alarm peringatan indikasi penipuan dari pihak bank.
• Mengambil tangkapan layar (screenshots) secara berkala dan mengunggahnya ke server peretas lengkap dengan stempel waktu (timestamps).

Guna mempertahankan eksistensinya di dalam gawai, Rokarolla dipersenjatai dengan taktik evasi pertahanan yang sangat agresif.

• Malware ini mampu menonaktifkan fungsi sistem keamanan Google Play Protect yang asli.
• Menyembunyikan ikon aplikasinya sendiri dari menu utama (app drawer).
• Mematikan fitur getar dan suara audio gawai secara total.
• Memaksa layar ponsel untuk terus berada dalam kondisi menyala (keep the screen awake) tanpa batas waktu.

Kombinasi dari seluruh kapabilitas destruktif ini memberikan kendali administratif mutlak bagi peretas untuk melancarkan aksi penipuan finansial tingkat lanjut tanpa disadari oleh korban.

Protokol Pertahanan Gawai

Hasil investigasi mendalam mengonfirmasi bahwa malware Rokarolla tidak ditemukan di dalam Google Play Store, yang merupakan repositori resmi untuk aplikasi Android.

Guna membentengi perangkat seluler dan aset finansial dari ancaman trojan ini, pengguna diimbau untuk segera menerapkan langkah-langkah mitigasi umum berikut:

1. Hindari Instalasi APK dari Luar Google Play Store.

Jangan pernah mengunduh atau memasang file aplikasi berformat APK yang bersumber dari situs web pihak ketiga, tautan iklan media sosial, atau domain asing yang tidak dikenal, kecuali Anda benar-benar memercayai reputasi penerbitnya secara hukum.

2. Perketat Pengawasan Izin Aksesibilitas.

Pengguna harus ekstra waspada dan skeptis saat ada aplikasi hiburan atau utilitas umum yang meminta persetujuan izin layanan Aksesibilitas (Accessibility permissions).

Izin ini merupakan gerbang paling rawan pada OS Android, karena dapat disalahgunakan oleh malware untuk:

• Mem-bypass sistem keamanan standar.
• Membaca interaksi layar.
• Menyetujui perintah sistem secara otomatis tanpa konfirmasi pengguna.

3. Pantau Aktivitas Latar Belakang Perangkat.

Selalu periksa daftar aplikasi yang terpasang melalui menu pengaturan gawai secara berkala. Jika mendeteksi adanya aplikasi asing yang:

• Mengonsumsi daya baterai sangat tinggi.
• Membungkam suara gawai secara sepihak.
• Atau membuat layar enggan mati.

Maka segera mengambil tindakan dengan melakukan isolasi perangkat dan hapus aplikasi tersebut dari sistem.

Stop Instalasi Jalur Ilegal

Kemunculan trojan perbankan Rokarolla menjadi bukti nyata bahwa lanskap ancaman siber pada ekosistem seluler kian agresif dalam mengeksploitasi fitur-fitur internal Android.

Kemampuan malware ini menyamar sebagai sistem pelindung resmi dan memanfaatkan 137 perintah kontrol administratif menegaskan bahwa kecanggihan antivirus bawaan sekalipun tidak akan berguna tanpa dibarengi oleh kebijakan skeptis dari pengguna itu sendiri.

Kunci utama dalam menjaga kedaulatan data finansial di era digital saat ini ditentukan oleh kedisiplinan untuk menolak pemasangan aplikasi dari jalur ilegal serta kebijakan yang bijak dalam memberikan hak istimewa operasional pada gawai pribadi.

Sumber berita:

WeLiveSecurity