
Credit image: Pixabay
Dua Spyware Android Mengintai Pengguna Signal dan ToTok – Para peneliti keamanan siber baru-baru ini mengungkap adanya dua operasi spyware Android baru yang secara khusus menargetkan individu yang tertarik pada aplikasi komunikasi aman, yaitu Signal dan ToTok.
Kedua operasi siber tersebut menyebarkan malware melalui situs web palsu dan taktik rekayasa sosial (social engineering) yang memiliki kemampuan pengintai tinggi.
Investigasi ini mengungkap dua keluarga spyware yang sebelumnya tidak terdokumentasi: Android/Spy.ProSpy dan Android/Spy.ToSpy. Keduanya memiliki kemampuan luas untuk mencuri data dan file sensitif dari perangkat Android korban.
Modus Operandi
Kedua keluarga spyware ini sangat mengandalkan penyamaran dan teknik distribusi di luar toko aplikasi resmi.
1. Penyamaran Canggih di Luar Toko Resmi
Baik spyware ProSpy maupun ToSpy tidak tersedia di toko aplikasi resmi seperti Google Play. Keduanya menuntut pengguna untuk melakukan instalasi secara manual (manual installation) dari situs web pihak ketiga yang menyamar sebagai layanan legal.
- ProSpy: Menyamar sebagai Plugin Enkripsi Signal (Signal Encryption Plugin) yang sebenarnya tidak ada, atau sebagai versi premium ToTok Pro.
- ToSpy: Meniru aplikasi ToTok secara eksklusif. Salah satu situs distribusinya bahkan meniru tampilan Samsung Galaxy Store untuk menipu pengguna agar mengunduh versi berbahaya dari ToTok.
Penargetan aplikasi seperti ToTok yang popularitas penggunanya sangat tinggi di banyak negara dan sebelumnya sempat ditarik dari toko aplikasi karena masalah pengawasan membuat pengguna di wilayah tersebut lebih rentan untuk mencari dan mengunduh aplikasi dari sumber tidak resmi.
Baca juga: Mengamankan Server Bisnis Anda |
2. Fokus Serangan Regional
Ditemukan indikasi kuat bahwa operasi ini bersifat regional. Salah satu domain yang mendistribusikan malware ProSpy menggunakan substring .ae.net, di mana AE adalah kode negara untuk Uni Emirat Arab.
Selain itu, sampel ToSpy terawal yang ditemukan berasal dari perangkat di UEA. Hal ini menunjukkan operasi yang terfokus dengan mekanisme pengiriman yang strategis untuk menargetkan penduduk lokal.

Dua Keluarga Satu Tujuan Jahat
Meskipun memiliki kemiripan dalam niat jahat, kedua spyware ini memiliki perbedaan dalam cara penyamaran dan infrastruktur pengiriman.
Android/Spy.ProSpy
operasi ProSpy diyakini telah berlangsung sejak tahun 2024. Setelah diinstal, malware ini akan meminta izin untuk mengakses kontak, pesan SMS, dan file.
Taktik Penyamaran
- ToTok Pro: Setelah izin diberikan, aplikasi menampilkan layar selamat datang yang meniru proses onboarding ToTok yang sah, lalu mengarahkan pengguna untuk mengunduh aplikasi ToTok resmi sebuah ilusi legitimasi. Bahkan, setiap kali diluncurkan, aplikasi malware ini akan langsung membuka aplikasi ToTok yang asli, sehingga menyembunyikan kehadirannya.
- Signal Encryption Plugin: Setelah diaktifkan, ikon dan nama aplikasi spyware ini di layar utama berubah menjadi “Play Services.” Perubahan nama ini (menggunakan teknik activity-alias) bertujuan untuk menyamar sebagai layanan sistem Android yang sah dan mencegah korban mencopot pemasangan.
Data yang Dicuri ProSpy
Informasi Perangkat: Detail hardware, OS, dan alamat IP publik.
Pesan SMS dan Daftar Kontak.
Panen File: Mencari dan mengekstrak file berdasarkan tipe MIME, termasuk semua file Audio, Dokumen (PDF, Word, Excel, PowerPoint), Arsip (ZIP, RAR), Gambar, dan Video di perangkat.
Android/Spy.ToSpy
operasi ToSpy diyakini telah dimulai sejak pertengahan tahun 2022 dan masih aktif. ToSpy juga meminta izin akses ke kontak dan penyimpanan perangkat dengan dalih agar aplikasi berfungsi.
Target Data Khusus
ToSpy memiliki daftar panjang file yang dicuri, yang meliputi: .pdf, .doc, .docx, media, dan lainnya. Namun, yang paling menarik adalah penargetan pada ekstensi file .ttkmbackup.
Ekstensi ini digunakan untuk menyimpan cadangan data obrolan ToTok, yang mengindikasikan minat spesifik penyerang dalam mengekstraksi riwayat obrolan dan data sensitif aplikasi.
Teknik Penyembunyian ToSpy
Sama seperti ProSpy, ToSpy juga berusaha menipu korban. Jika aplikasi ToTok resmi sudah terinstal, malware ToSpy akan menampilkan layar “Memeriksa pembaruan”.
Dan kemudian secara mulus meluncurkan aplikasi ToTok yang asli, membuat korban merasa sedang menggunakan aplikasi yang legal.
Baca juga: Pengguna Windows Hati-hati Ancaman Siber Ini |
Mekanisme Persistensi
Kedua spyware ini dirancang untuk beroperasi secara terus-menerus dan menghindari pemutusan paksa melalui tiga strategi utama:
- Layanan Latar Depan (Foreground Service): Spyware berjalan sebagai layanan latar depan yang menampilkan notifikasi persisten, diperlakukan oleh Android sebagai proses prioritas tinggi.
- Alarm Manager: Menggunakan AlarmManager Android untuk berulang kali memulai ulang layanan latar depan, memastikan spyware segera aktif kembali meskipun dimatikan.
- Boot Persistence: Menggunakan Broadcast Receiver untuk meluncurkan layanan latar belakang secara otomatis segera setelah perangkat dinyalakan, memastikan operasi yang berkelanjutan tanpa interaksi pengguna.
Meskipun strategi persistensi ini tidak terlalu canggih, namun sangat efektif dalam menjaga spyware tetap berjalan, memaksimalkan peluang pencurian data, dan meminimalkan kesadaran korban.
Langkah Pencegahan
Penemuan spyware ProSpy dan ToSpy menunjukkan bahwa penjahat siber terus berinovasi dalam menargetkan aplikasi komunikasi populer untuk tujuan pengawasan.
Sebagai langkah pencegahan paling krusial, pengguna harus selalu waspada:
- Hindari mengunduh aplikasi atau add-on dari sumber yang tidak resmi atau situs web pihak ketiga yang mengaku meningkatkan layanan tepercaya.
- Nonaktifkan pengaturan “Instalasi dari sumber tidak dikenal” di perangkat Android Anda.
- Selalu perhatikan dan pertanyakan izin yang diminta oleh aplikasi baru. Aplikasi yang meminta izin luas (seperti akses SMS atau semua file) tanpa alasan yang jelas harus dihindari.
Sebagai pengguna Android dengan Layanan Google Play, Anda dilindungi secara otomatis dari versi spyware yang dikenal ini oleh Google Play Protect, yang aktif secara default. Namun, kewaspadaan pribadi tetap menjadi garis pertahanan terkuat.
Sumber berita: