Sebuah perangkat lunak berbahaya (malware) Android jenis baru yang dijuluki Perseus ditemukan memiliki kemampuan tak lazim: secara aktif memindai dan membaca catatan pribadi pengguna. Tujuan utamanya adalah untuk mencuri informasi sangat sensitif, seperti kata sandi, frasa pemulihan (recovery phrase) kripto, hingga data finansial.
Didistribusikan melalui toko aplikasi tidak resmi dengan menyamar sebagai layanan IPTV, Perseus memungkinkan peretas untuk mengambil alih perangkat secara penuh, menangkap tangkapan layar, hingga melancarkan serangan overlay.
Dengan menggunakan kedok aplikasi IPTV—yang kerap dimanfaatkan untuk melakukan streaming konten bajakan—pelaku ancaman memanfaatkan kebiasaan pengguna yang gemar melakukan sideloading APK dari luar ekosistem resmi Google Play Store dan kerap mengabaikan peringatan keamanan sistem.
Tren serangan semacam ini mulai mencuat selama delapan bulan terakhir seiring dengan tingginya minat pengguna mencari cara gratis atau murah untuk menonton siaran olahraga secara langsung. Dalam kampanye peretasan baru-baru ini, pelaku kejahatan siber juga memanfaatkan kedok aplikasi IPTV serupa untuk mendistribusikan malware perbankan Android bernama Massiv.
Menurut analisis dari para peneliti firma keamanan seluler ThreatFabric, kampanye Perseus saat ini secara spesifik menargetkan berbagai institusi keuangan di Turki dan Italia, beserta sejumlah layanan mata uang kripto. Salah satu aplikasi pengirim (dropper) yang terinfeksi malware ini menyamar sebagai Roja Directa TV, sebuah layanan streaming olahraga populer yang sebenarnya sering menjadi sasaran pemblokiran otoritas akibat pelanggaran hak cipta.
Evolusi Kode dan Penggunaan Kecerdasan Buatan
Aplikasi dropper Perseus dirancang sangat canggih hingga mampu melewati batasan keamanan sideloading bawaan Android 13 ke atas. Mekanisme penetrasi ini teridentifikasi sama persis dengan metode yang digunakan untuk menyebarkan malware Klopatra dan Medusa sebelumnya.
Berdasarkan temuan ThreatFabric, struktur Perseus tampaknya dibangun secara spesifik di atas basis kode Phoenix, yang merupakan turunan dari kode malware Cerberus yang sempat bocor ke publik hampir enam tahun lalu.
Laporan tersebut mengungkapkan bahwa malware ini beroperasi dalam dua varian. Varian pertama menggunakan bahasa Turki, sementara varian kedua berbahasa Inggris dengan rancangan yang jauh lebih mutakhir. Varian bahasa Inggris ini dilengkapi dengan fitur debugging yang lebih baik dan penambahan fungsi kualitas operasional (quality-of-life). Adanya log aktivitas yang ekstensif serta penempatan emoji di dalam baris kode varian bahasa Inggris menjadi indikasi kuat bahwa peretas memanfaatkan alat kecerdasan buatan (AI) selama proses pengembangannya.
Fokus serangan ke Turki juga terlihat jelas dari daftar target yang disasar, mencakup 17 institusi keuangan di negara tersebut. Menyusul di belakangnya adalah Italia (15 institusi), Polandia (5), Jerman (3), dan Prancis (2). Tidak hanya perbankan, malware ini juga secara aktif mengincar sembilan aplikasi dompet mata uang kripto yang berbeda.
Pengambilalihan Perangkat dan Pencurian Catatan
Dengan menyalahgunakan fitur Accessibility Services bawaan Android, Perseus memberikan kendali jarak jauh secara penuh kepada operatornya atas perangkat yang terinfeksi. Akses tingkat tinggi ini memungkinkan peretas untuk melakukan berbagai aktivitas intrusif secara senyap:
- Menangkap layar (screenshot) secara terus-menerus dan menyiarkannya langsung ke operator jarak jauh.
- Mengirimkan hierarki antarmuka pengguna (UI) terstruktur untuk keperluan interaksi jarak jauh secara terprogram.
- Mensimulasikan berbagai navigasi navigasi, seperti ketukan jari, usapan layar, input teks, hingga penekanan tombol lama.
- Menyalakan layar dari kondisi siaga, meluncurkan aplikasi, hingga memblokir akses korban ke perangkat lunak tertentu.
- Mengaktifkan overlay layar hitam buatan untuk menyembunyikan seluruh aktivitas peretasan dari pandangan pemilik ponsel.
- Meluncurkan serangan antarmuka palsu (overlay attacks) dan merekam setiap ketikan (keylogging).
Namun, fitur paling membedakan dan berbahaya dari Perseus adalah kemampuannya menargetkan aplikasi pencatat (note-taking apps) bawaan maupun pihak ketiga. Daftar aplikasi yang dipantau mencakup Google Keep, Xiaomi Notes, Samsung Notes, ColorNote, Evernote, Microsoft OneNote, hingga Simple Notes.
Peneliti ThreatFabric mencatat bahwa ini adalah kali pertama mereka menemukan malware Android yang secara khusus ditugaskan memindai detail sensitif di dalam aplikasi catatan pribadi perangkat.
“Meskipun banyak keluarga malware Android yang berfokus utama pada pencurian kredensial atau penyadapan komunikasi, fitur ini mencerminkan minat peretas yang lebih luas terhadap data kontekstual yang dikurasi secara pribadi oleh pengguna,” tulis laporan ThreatFabric. Catatan digital sering kali menyimpan informasi berharga yang tidak terenkripsi, seperti daftar kata sandi, frasa pemulihan, detail keuangan, hingga informasi privat lainnya, menjadikannya target yang sangat bernilai tinggi bagi penyerang.
Pada praktiknya, Perseus varian bahasa Inggris akan memanfaatkan Accessibility Services untuk membuka aplikasi pencatat satu per satu secara sistematis, lalu memindai seluruh teks dari setiap catatan yang tersimpan di dalamnya.
Sebelum benar-benar beraksi, Perseus akan melakukan serangkaian pemeriksaan anti-analisis dan penghindaran yang ekstensif pada perangkat target. Malware ini mengecek status root, sidik jari emulator, detail kartu SIM, profil perangkat keras, data baterai, koneksi Bluetooth, jumlah aplikasi yang terinstal, hingga ketersediaan Google Play Services. Seluruh variabel data ini kemudian diformulasikan menjadi sebuah “skor kecurigaan” yang akan dikirimkan kembali ke panel komando dan kontrol (C2) milik peretas. Berdasarkan skor kalkulasi tersebut, operator akan memutuskan apakah aman untuk melanjutkan proses pencurian data.
Untuk meminimalisasi risiko infeksi, para pengguna Android sangat disarankan untuk tidak melakukan sideloading APK dari sumber yang tidak diverifikasi keamanannya. Pastikan untuk selalu mengunduh aplikasi—termasuk platform streaming—hanya dari toko aplikasi resmi Google Play. Selain itu, pastikan fitur pelindungan bawaan Play Protect selalu aktif dan gunakan secara berkala untuk memindai perangkat dari celah ancaman.