Malware Android Sturnus Mampu Curi Pesan Signal dan WhatsApp, Serta Kendalikan Perangkat Sepenuhnya

Ancaman baru muncul di ekosistem Android dengan hadirnya Sturnus, sebuah trojan perbankan canggih yang mampu mencuri pesan dari aplikasi perpesanan terenkripsi seperti Signal, WhatsApp, dan Telegram. Meski masih dalam tahap pengembangan, kemampuan Sturnus sudah sepenuhnya berfungsi dan menunjukkan tingkat ancaman yang lebih tinggi dibanding keluarga malware Android saat ini.

Peneliti keamanan menemukan bahwa Sturnus dirancang untuk menargetkan berbagai lembaga keuangan di Eropa melalui overlay yang disesuaikan berdasarkan wilayah. Malware ini memanfaatkan komunikasi campuran antara plaintext, RSA, dan AES untuk berinteraksi dengan server kendali (command-and-control), menjadikannya sulit dideteksi.

Laporan terbaru menjelaskan bahwa Sturnus mampu mengambil alih perangkat Android secara penuh. Ia dapat mencuri konten percakapan terenkripsi setelah proses dekripsi berlangsung di layar, karena malware ini membaca informasi langsung dari tampilan perangkat. Selain pesan, Sturnus juga mengincar kredensial perbankan melalui HTML overlay dan memberi akses penuh kepada operator untuk mengontrol perangkat secara real-time melalui sesi VNC.

Infeksi biasanya dimulai melalui unduhan APK berbahaya yang menyamar sebagai aplikasi Google Chrome atau Preemix Box. Meskipun jalur distribusinya belum terkonfirmasi, pakar menilai bahwa malvertising atau pesan langsung kemungkinan menjadi metode penyebaran.

Setelah terpasang, malware terhubung ke infrastruktur C2 menggunakan pertukaran kriptografi, lalu membangun kanal HTTPS terenkripsi untuk pertukaran data serta WebSocket terenkripsi AES untuk keperluan kontrol langsung dan pemantauan aktif. Dengan memanfaatkan layanan Aksesibilitas Android, Sturnus dapat membaca teks di layar, memantau input, mengenali peluncuran aplikasi, menyimulasikan interaksi, menggulir, hingga menavigasi seluruh sistem.

Untuk memperkuat posisinya, Sturnus meminta hak sebagai Device Administrator, yang memungkinkan kontrol penuh terhadap status perangkat, termasuk perubahan sandi, percobaan pembukaan kunci, hingga kemampuan mengunci perangkat dari jarak jauh. Hak ini juga digunakan untuk mencegah pengguna mencopot instalasi atau mencabut izin admin.

Saat aplikasi pesan seperti WhatsApp, Telegram, atau Signal dibuka, malware langsung mengakses informasi seperti isi pesan, teks yang diketik, nama kontak, hingga percakapan secara keseluruhan. Bergantung pada Aksesibilitas, malware ini dapat membaca semua konten yang ditampilkan, melewati perlindungan enkripsi ujung-ke-ujung.

Sturnus juga menyediakan mode VNC, memungkinkan pelaku untuk mengoperasikan ponsel korban layaknya perangkat jarak jauh. Aksi yang mereka lakukan dapat disembunyikan melalui black overlay, sehingga korban tidak menyadari adanya transaksi bank, konfirmasi MFA, perubahan pengaturan, atau pemasangan aplikasi lain yang berjalan di belakang layar. Salah satu teknik yang diamati adalah penggunaan tampilan pembaruan sistem palsu untuk menutupi aktivitas berbahaya tersebut.

Meskipun jumlah serangan masih rendah dan terlihat sebagai fase uji coba, kombinasi kemampuan tingkat lanjut, arsitektur yang siap berkembang, serta fokus pada perangkat perbankan menjadikan Sturnus ancaman serius bagi pengguna Android. Aktivitas terbanyak ditemukan di Eropa Selatan dan Tengah, mengindikasikan potensi kampanye yang lebih besar.

Pengguna Android disarankan untuk tidak menginstal APK dari luar Google Play, memastikan Play Protect tetap aktif, dan menghindari pemberian izin Aksesibilitas kecuali benar-benar diperlukan.