Malware Android BTMOB RAT: Alat Pembuat Payload “No-Code” yang Membajak Perangkat Korban

Perusahaan keamanan siber ESET merilis laporan mendalam mengenai aktivitas BTMOB, sebuah trojan akses jarak jauh (Remote Access Trojan / RAT) Android yang dipasarkan secara terbuka sebagai platform Malware-as-a-Service (MaaS). Malware ini menjadi ancaman serius karena dilengkapi dengan antarmuka pembuat aplikasi (APK builder) ramah pengguna. Fitur tersebut memungkinkan para kriminal siber memproduksi payload berbahaya secara instan dan menyesuaikan tema penipuan (phishing lures) sesuai wilayah target tanpa perlu menguasai bahasa pemrograman (no-code).

Meskipun rekam jejak perkembangannya telah dideteksi sejak awal 2025 sebagai evolusi dari famili malware SpySolr, varian terbaru BTMOB di tahun 2026 ini menunjukkan peningkatan kapabilitas kontrol perangkat secara penuh serta perluasan target operasi yang mulai merambah ke luar wilayah asalnya di Brasil dan Amerika Latin.

Modus Operandi: “No-Code Builder” dan Manipulasi Google Play Store Palsu

Distribusi BTMOB berawal dari taktik rekayasa sosial (social engineering) yang matang. Para pelaku membuat situs phishing yang menyamar sebagai platform penambangan kripto, layanan streaming populer, hingga aplikasi instansi resmi (seperti pemalsuan situs otoritas pajak Argentina baru-baru ini).

Rangkaian infeksi siber ini berjalan melalui tahapan berikut:

1. Pengalihan ke Toko Aplikasi Palsu: Korban yang terjebak di situs phishing akan diarahkan ke sebuah portal web yang didesain menyerupai antarmuka Google Play Store resmi.
2. Manipulasi Notifikasi Pembaruan: Korban dipancing untuk mengunduh berkas APK berbahaya. Setelah diluncurkan, aplikasi tiruan tersebut akan memunculkan jendela pop-up atau notifikasi persisten yang mensimulasikan proses pembaruan (update) sistem palsu untuk mengecoh kewaspadaan pengguna.
3. Penyalahgunaan Accessibility Services: Begitu terpasang, BTMOB secara agresif meminta pengguna mengaktifkan fitur Layanan Aksesibilitas (Accessibility Services) Android. Setelah izin ini diberikan, malware akan memanfaatkan hak akses tersebut untuk secara otomatis menyetujui izin sistem berbahaya lainnya (seperti membaca SMS dan memantau layar) tanpa memerlukan interaksi atau persetujuan lanjutan dari korbannya.

Kapabilitas Agresif: Dari Injeksi HTML hingga Remote Control Live

BTMOB bukan sekadar trojan perbankan standar yang hanya mencuri kredensial finansial. Lini malware ini memiliki modul mata-mata (espionage) dan kendali jarak jauh yang sangat masif:

• Injeksi Overlay HTML: Secara otomatis memunculkan halaman login palsu di atas aplikasi perbankan asli saat dibuka untuk menjaring username, kata sandi, dan kode PIN.
• Pembajakan Sesi & MFA: Membaca data cookies, log pengetikan keyboard (keystroke logging), serta memotong pesan SMS verifikasi OTP. Taktik ini memungkinkan peretas menembus akun yang telah dilindungi oleh Otentikasi Multi-Faktor (MFA).
• Kendali Fisik Jarak Jauh (Live Remote Control): Aktor pengancam dapat memantau visual layar korban secara langsung (live screen sharing), mengambil tangkapan layar (screenshots), melacak lokasi GPS secara konstan, hingga mengaktifkan kamera depan dan belakang ponsel.
• Penyamaran dan Persistensi: Melalui alat pembuat APK (builder), pembeli malware dapat mengatur agar aplikasi menyembunyikan ikonnya dari menu utama setelah terpasang, mematikan fungsi pengawasan Google Play Protect, mencegah ponsel masuk ke mode tidur (sleep mode), hingga menjalankan skrip pemutar audio senyap di latar belakang agar proses malware tidak dimatikan oleh manajemen baterai sistem operasi.

Model Bisnis MaaS di Jaringan Telegram dan Clearnet

Keberadaan BTMOB dipasarkan layaknya sebuah produk perangkat lunak legal. Pengembang utamanya—yang menggunakan alias EVLF (Terafiliasi pula dengan varian CraxsRAT dan CypherRAT)—mempromosikan toolkit ini melalui situs web clearnet publik dan akun media sosial seperti X (Twitter) dan Instagram, yang kemudian mengarahkan calon pembeli ke saluran komunikasi privat di Telegram.

Berdasarkan laporan forensik ESET, paket langganan malware ini ditawarkan dalam beberapa skema tarif:

• Langganan Bulanan: $700 (sekitar 11,3 juta Rupiah) per bulan.
• Lisensi Seumur Hidup (Lifetime License): Berada di kisaran $1.200 hingga $5,000 tergantung paket kapabilitas pelindung enkripsi APK yang dipilih.
• Source Code Server Penuh: Dijual seharga $7,000 bagi aktor kelas atas yang ingin meng-host panel Command and Control (C2) mereka sendiri secara mandiri.

Pihak analis keamanan memperingatkan bahwa model bisnis MaaS ini secara drastis menurunkan batasan keahlian yang dibutuhkan untuk melancarkan serangan siber. Kondisi ini diperparah oleh adanya laporan kebocoran (leak) kode sumber toolkit pengembangan BTMOB di forum Dark Web pada awal tahun, yang memicu kemunculan gelombang peretas tiruan (copycats) menggunakan varian payload baru yang bermutasi sangat cepat.

Panduan Pertahanan bagi Pengguna Android

Sifat malware yang mampu menghasilkan varian payload baru dalam hitungan menit membuat sistem pertahanan berbasis deteksi statis tunggal (seperti tanda tangan file) menjadi kurang efektif. Pengguna Android disarankan untuk menerapkan langkah mitigasi berikut:

1. Kunci Sumber Unduhan: Pastikan fitur “Install Unknown Apps” (Instal aplikasi tidak dikenal) di menu pengaturan Android tetap dinonaktifkan. Hanya unduh aplikasi dari Google Play Store resmi atau toko aplikasi bawaan vendor ponsel.
2. Waspadai Permintaan Aksesibilitas: Jangan pernah memberikan izin Accessibility Services kepada aplikasi pihak ketiga, kecuali aplikasi tersebut adalah alat bantu disabilitas resmi yang Anda percayai. Layanan ini adalah pintu masuk utama malware untuk mengontrol sistem ponsel Anda.
3. Aktifkan Google Play Protect: Pastikan fitur pemindaian bawaan Google ini tetap aktif di latar belakang untuk mendeteksi perilaku aplikasi yang mencurigakan secara proaktif.
4. Periksa Suhu dan Baterai Ponsel: Karena beberapa varian BTMOB dilaporkan menyisipkan modul penambangan kripto (Monero miner) di latar belakang, waspadai jika ponsel Anda mendadak terasa panas secara konstan atau baterai terkuras jauh lebih cepat dari biasanya dalam kondisi siaga.

Sumber: ESET WeLiveSecurity / Kaspersky GReAT / The Hacker News