Malware Pencuri OTP via Phone Link

Malware Pencuri OTP via Phone Link – Versi terbaru dari alat akses jarak jauh (Remote Access Tool) bernama CloudZ kini tengah menyebarkan plugin berbahaya yang sebelumnya tidak pernah terlihat bernama Pheno.

Plugin ini secara cerdas menyalahgunakan koneksi aplikasi Microsoft Phone Link untuk mencuri kode sensitif dan kata sandi sekali pakai (OTP) langsung dari perangkat seluler korban.

Serangan ini terdeteksi aktif setidaknya sejak Januari 2026. Para peneliti mengungkapkan bahwa tujuan utama aktor ancaman di balik kampanye ini adalah memanen kredensial dan memintas autentikasi dua faktor (2FA) milik target.

Mengeksploitasi Jembatan Antara PC dan Ponsel

Aplikasi Microsoft Phone Link adalah fitur bawaan pada Windows 10 dan 11 yang memungkinkan pengguna untuk melakukan panggilan, membalas SMS, dan melihat notifikasi ponsel melalui komputer.

Kemudahan inilah yang dimanfaatkan oleh plugin Pheno untuk melakukan intersepsi data tanpa perlu menginfeksi perangkat seluler (Android atau iOS) itu sendiri.

Berdasarkan laporan dari para peneliti keamanan di Cisco Talos, mekanisme kerja Pheno meliputi:

• Pemantauan Sesi Aktif: Plugin akan memantau apakah ada sesi Microsoft Phone Link yang sedang aktif di komputer korban.
• Akses Basis Data Lokal: Begitu koneksi terdeteksi, Pheno akan mengakses file basis data SQLite lokal milik Phone Link yang tersimpan di PC.
• Pencurian OTP: Basis data tersebut sering kali berisi riwayat SMS dan notifikasi dari aplikasi autentikator. Dengan membaca file ini, penyerang dapat mengambil kode OTP yang baru saja masuk secara real-time.

Hal ini memberikan penyerang kemampuan untuk membobol akun yang dilindungi oleh SMS-based 2FA tanpa harus menyentuh fisik ponsel korban atau memasang malware di perangkat seluler tersebut.

Kemampuan CloudZ RAT dan Teknik Kamuflase

Selain fungsionalitas khusus yang ditawarkan oleh plugin Pheno, CloudZ RAT sendiri merupakan alat kendali jarak jauh yang sangat kuat. Beberapa kemampuan utamanya meliputi:

• Manajemen File: Menghapus, mengunduh, dan menulis file pada sistem target.
• Eksekusi Shell: Menjalankan perintah sistem secara langsung.
• Perekaman Layar: Memulai aktivitas pengintaian visual melalui layar korban.
• Manajemen Plugin: Memuat atau menghapus modul tambahan sesuai kebutuhan penyerang.

Untuk menghindari deteksi jaringan, CloudZ berganti-ganti di antara tiga user-agent yang telah diprogram agar lalu lintas HTTP tampak seperti permintaan peramban legal.

Selain itu, ia menggunakan header anti-caching untuk mencegah server proksi atau CDN menyimpan rincian server kontrol (C2) miliknya.

Rantai Infeksi dan Mekanisme Anti-Analisis

Meskipun vektor akses awal belum teridentifikasi secara pasti, infeksi diketahui bermula ketika korban mengeksekusi pembaruan palsu untuk perangkat lunak ScreenConnect. Proses ini kemudian memicu rangkaian pemuatan (loader) sebagai berikut:

1. Rust-based Loader: Menjalankan tahap awal infeksi di memori.
2. Net Loader: Menginstal CloudZ RAT dan membangun persistensi melalui tugas terjadwal (scheduled task).

Loader ini dilengkapi dengan pemeriksaan anti-analisis yang ketat, termasuk deteksi lingkungan sandbox, penghindaran berbasis waktu, serta pemeriksaan keberadaan alat pemantau seperti:

• Wireshark.
• Fiddler.
• Procmon.
• dan Sysmon.

Jika salah satu alat analisis tersebut ditemukan, malware akan berhenti beroperasi untuk menghindari pemindaian oleh peneliti keamanan.

Mitigasi Keamanan

Penyalahgunaan aplikasi sinkronisasi seperti Microsoft Phone Link menunjukkan bahwa sistem keamanan yang paling tepercaya sekalipun dapat menjadi celah jika tidak dikelola dengan hati-hati. Berikut adalah langkah mitigasi yang disarankan:

1. Tinggalkan OTP Berbasis SMS: Hindari penggunaan SMS sebagai metode autentikasi dua faktor. Gunakan aplikasi autentikator mandiri yang tidak mengandalkan notifikasi push yang dapat diintersepsi.
2. Gunakan Hardware Security Keys: Untuk perlindungan maksimal, beralihlah ke solusi tahan phishing seperti kunci keamanan perangkat keras (misalnya YubiKey).
3. Waspadai Pembaruan Perangkat Lunak: Jangan pernah mengunduh pembaruan aplikasi (seperti ScreenConnect) dari sumber tidak resmi atau melalui tautan di situs web yang mencurigakan.
4. Tinjau Koneksi Phone Link: Jika Anda tidak memerlukan sinkronisasi SMS ke PC, sebaiknya matikan fitur notifikasi pesan atau putuskan sambungan Microsoft Phone Link untuk meminimalkan risiko.
5. Gunakan Solusi Keamanan yang Memantau SQLite: Terapkan perlindungan titik akhir yang mampu mendeteksi akses tidak sah oleh proses asing ke file basis data sensitif milik aplikasi sistem.

Keamanan dalam Sinkronisasi Digital

Kasus CloudZ dan Pheno menjadi pengingat bahwa sinkronisasi antarperangkat menciptakan permukaan serangan baru.

Kemudahan melihat notifikasi ponsel di layar komputer ternyata menyimpan risiko besar jika perangkat komputer tersebut berhasil disusupi.

Di tahun 2026, menjaga keamanan akun bukan lagi sekadar soal kerumitan kata sandi, melainkan tentang memahami bagaimana data mengalir di antara perangkat-perangkat yang kita gunakan.

Membatasi akses data antarplatform adalah langkah bijak untuk memastikan privasi dan kode keamanan Anda tetap berada di tangan yang tepat.

Sumber berita:

WeLiveSecurity