Peneliti keamanan menemukan teknik serangan baru di Android bernama “TapTrap”, yang menyalahgunakan antarmuka pengguna tak terlihat (invisible UI) untuk menipu korban agar memberi izin sensitif tanpa disadari. Serangan ini sangat sulit dideteksi dan berpotensi membuka akses ke kamera, mikrofon, hingga data pribadi.
Ringkasan
Sebuah laporan dari tim peneliti di ThreatFabric mengungkapkan evolusi teknik tapjacking di Android yang kini dikenal sebagai TapTrap. Teknik ini memanfaatkan lapisan UI transparan untuk membuat pengguna “mengetuk” tombol yang sebenarnya tidak mereka lihat—sering kali saat memberikan izin penting seperti akses kamera atau layanan aksesibilitas.
Cara Kerja TapTrap:
- UI Transparan: Aplikasi jahat menampilkan layar palsu yang tak terlihat, lalu menyusun elemen UI asli (seperti tombol “Allow”) di posisi yang sama.
- Interaksi Tipuan: Saat pengguna mengetuk layar (misalnya berpikir sedang menutup popup), sebenarnya mereka memberikan izin sensitif ke malware.
- Tak Terdeteksi Secara Visual: Tidak ada indikator izin muncul secara eksplisit karena pengguna tidak sadar bahwa UI telah dibajak.
Risiko dan Potensi Eksploitasi
- Bisa digunakan untuk memberikan:
- Akses layanan aksesibilitas
- Izin rekam layar
- Akses ke kamera/mikrofon
- Kontrol penuh atas perangkat melalui remote injection
- Sangat efektif bila digabungkan dengan malware seperti Anatsa, Hook, dan Xenomorph, yang memang bergantung pada layanan aksesibilitas untuk kontrol lanjutan.
Kenapa Ini Berbahaya?
- Tidak butuh rooting
- Sulit dideteksi oleh antivirus biasa
- Memanfaatkan antarmuka sah Android tapi dengan niat jahat
- Bisa menyelinap dalam aplikasi yang terlihat biasa atau produktif
Pencegahan & Tips Aman
- Hindari menginstal aplikasi dari sumber tidak dikenal
- Waspadai aplikasi yang langsung meminta izin aksesibilitas atau overlay
- Gunakan solusi keamanan Android yang mampu mendeteksi perilaku berisiko, bukan hanya file
Tanggapan Google
Google belum memberikan komentar resmi, namun biasanya akan memperketat API atau overlay permission dalam versi Android mendatang.