Image credit: Freepix
Peneliti keamanan siber baru-baru ini mengungkap detail mengenai trojan perbankan Android baru yang sangat berbahaya bernama Herodotus.
Malware ini teramati aktif dalam kampanye yang menargetkan Italia dan Brasil, dengan tujuan melakukan pengambilalihan perangkat (Device Takeover – DTO).
Apa Itu Herodotus dan Mengapa Berbahaya?
Herodotus dirancang untuk melakukan pengambilalihan perangkat sambil mencoba meniru perilaku manusia, sebuah taktik baru untuk mengakali deteksi biometrik perilaku yang digunakan oleh banyak aplikasi perbankan modern.
- Model MaaS: Trojan ini pertama kali diiklankan di forum underground pada September 2025 sebagai bagian dari model Malware-as-a-Service (MaaS), menawarkan kemampuannya untuk beroperasi di perangkat dengan Android versi 9 hingga 16.
- Kecerdasan Menipu: Poin pembeda utama Herodotus adalah kemampuannya untuk “memanusiawikan penipuan” dan menghindari deteksi berbasis waktu. Malware ini menyertakan opsi untuk memasukkan jeda acak ketika memulai tindakan jarak jauh (misalnya, mengetik teks di perangkat). Jeda ini berkisar antara 0,3 hingga 3 detik.
- Tujuan: Dengan sengaja menunda input teks secara acak, pelaku ancaman mencoba membuat input tersebut tampak seperti dimasukkan oleh pengguna sungguhan, sehingga lolos dari solusi anti-fraud yang mendeteksi kecepatan input “mirip mesin.”
|
Baca juga: 10 Malware Tercanggih yang Mengintai Ponsel Android |
Taktik Serangan dan Eksploitasi Aksesibilitas
Seperti banyak malware Android berbahaya lainnya, Herodotus menyalahgunakan layanan aksesibilitas (Accessibility Services) Android untuk mencapai tujuannya.
Distribusi dan Fungsi Utama:
- Distribusi: Disebar melalui aplikasi dropper yang menyamar sebagai Google Chrome melalui SMS phishing atau taktik rekayasa sosial lainnya.
- Eksploitasi Aksesibilitas: Setelah mendapatkan izin aksesibilitas, malware ini dapat:
- Berinteraksi dengan layar.
- Menampilkan layar overlay buram (opaque overlay screens) untuk menyembunyikan aktivitas jahat.
- Mencuri kredensial dengan menampilkan layar login palsu di atas aplikasi perbankan.
- Pengumpulan Data: Mampu mencuri kode two-factor authentication (2FA) yang dikirim melalui SMS, mencegat semua yang ditampilkan di layar, mendapatkan PIN atau pola lockscreen, dan memasang berkas APK jarak jauh.
Kaitan dengan Brokewell
Peneliti mencatat bahwa meskipun Herodotus bukan evolusi langsung dari malware perbankan Brokewell, ia tampaknya mengambil bagian-bagian tertentu darinya, termasuk kesamaan dalam teknik obfuscation yang digunakan.
Hal ini menunjukkan bahwa pelaku di balik Herodotus memanfaatkan blueprint malware yang sudah terbukti.
Saat ini, operator Herodotus aktif mencoba memperluas jangkauan mereka, dengan ditemukannya halaman overlay yang menargetkan organisasi keuangan di AS, Turki, Inggris, dan Polandia, serta dompet dan exchange cryptocurrency.
Ancaman Android Hibrida Lain GhostGrab
Sejalan dengan Herodotus, ancaman lain yang patut diwaspadai adalah malware Android canggih bernama GhostGrab (dilaporkan oleh CYFIRMA) yang tampaknya menargetkan pengguna di India.
GhostGrab beroperasi sebagai ancaman hibrida dengan aliran pendapatan ganda bagi penjahat siber:
Pencurian Kredensial: Secara sistematis memanen kredensial perbankan, detail kartu debit, dan one-time passwords (OTP) melalui intersepsi SMS.
Penambangan Kripto: Secara diam-diam menambang cryptocurrency Monero di perangkat yang terinfeksi.
Aplikasi dropper GhostGrab biasanya menyamar sebagai aplikasi keuangan, meminta izin REQUEST_INSTALL_PACKAGES untuk memfasilitasi instalasi APK tambahan di luar Google Play Store.
|
Baca juga: Waspada Jingle Thief Cloud Ritel Jadi Target Utama |
Tindakan Perlindungan dan Keamanan (Penting untuk Pengguna)
Ancaman ini menegaskan bahwa perangkat seluler telah menjadi target utama untuk kejahatan finansial. Berikut adalah langkah-langkah yang harus diambil pengguna Android:
- Google Play Protect adalah Baris Pertahanan Pertama: Juru bicara Google mengonfirmasi bahwa pengguna Android secara otomatis terlindungi dari versi malware ini yang sudah diketahui oleh Google Play Protect, yang aktif secara default. Play Protect dapat memperingatkan atau memblokir aplikasi berbahaya, bahkan ketika aplikasi tersebut berasal dari sumber di luar Play Store.
- Hindari Sideloading Aplikasi: Jangan pernah menginstal aplikasi dari sumber tidak resmi (di luar Google Play Store), terutama yang datang melalui tautan SMS atau pesan phishing.
- Waspada Izin Aksesibilitas: Layanan aksesibilitas sangat kuat. Berhati-hatilah saat aplikasi meminta izin Aksesibilitas, terutama jika aplikasi tersebut bukan alat bantu difabel. Malware menggunakannya untuk mengambil kendali penuh atas perangkat.
- Periksa Izin Instalasi: Berhati-hatilah jika sebuah aplikasi yang bukan merupakan App Store resmi meminta izin “Install unknown apps” (REQUEST_INSTALL_PACKAGES).
- Perbarui Sistem Operasi: Selalu pastikan sistem operasi Android dan semua aplikasi Anda berada dalam versi terbaru untuk mendapatkan patch keamanan terkini.
Baca artikel lainnya:
- Serangan DreamJob Incar Pabrik Drone
- SnakeStealer Pencuri Data yang Merajalela
- Penipuan Canggih di Balik Kedok Karyawan Bank
- Ancaman Terbesar Kini Datang dari Ponsel Pribadi Karyawan
- Kunci Rahasia IIS Bocor Ratusan Server Diretas
- Kekacauan Global Situs Populer Error Massal
- Malware GlassWorm Curi Data Developer
- Bahaya Ekstensi Palsu WhatsApp Web
- Mengapa Karyawan Adalah Gerbang Utama Masuknya Peretas
- 3 Pintu Masuk Ransomware Serang UKM
Sumber berita:
