Security

Waspada Trojan Rokarolla: Malware Android Baru Incar 217 Aplikasi Bank dan Kripto

1 hour ago
3 minutes read

Para pengguna perangkat Android kini harus meningkatkan kewaspadaan terhadap ancaman siber finansial yang sangat agresif. Laporan terbaru dari firma keamanan seluler Zimperium membongkar keberadaan trojan perbankan Android baru bernama Rokarolla.

Malware ini dirancang khusus untuk mengincar 217 aplikasi perbankan dan mata uang kripto (cryptocurrency) global. Membawa persenjataan masif berupa 137 perintah kontrol jarak jauh (C2), Rokarolla mampu mengambil alih hak administratif penuh atas perangkat korban untuk menguras rekening secara ilegal.

Modus Operandi: Menyamar Sebagai Update Google Chrome dan TikTok

Aktor di balik malware Rokarolla tidak menggunakan Google Play Store resmi untuk menyebarkan muatannya, melainkan mengandalkan taktik rekayasa sosial (social engineering) melalui situs-situs web berbahaya yang dirancang menyerupai halaman resmi.

[ Korban Masuk Situs Palsu ] ──► Mengunduh APK Pembaruan Chrome / TikTok
                                               │
                                               ▼
 [ Aplikasi Mengaktifkan Dropper ] ──► Menyamar sebagai "Google Play Protect"
                                               │
                                               ▼
 [ Pengelabuan Izin Sistem ] ──► Meminta Akses "Accessibility Service" (Pintu Utama)
  1. Unduhan Luar Toko: Korban terpancing mengunduh file instalasi (APK) yang diklaim sebagai pembaruan aplikasi Google Chrome atau TikTok dari situs pihak ketiga.
  2. Menyamar Sebagai Play Protect: Saat dipasang, aplikasi jahat ini bertindak sebagai dropper (penyusup) dan memalsukan tampilan Google Play Protect—sistem keamanan bawaan Android—untuk meyakinkan korban bahwa proses instalasi tersebut aman.
  3. Eksploitasi Layanan Aksesibilitas: Begitu aktif, Rokarolla akan terus mendesak pengguna untuk memberikan izin Accessibility Service (Layanan Aksesibilitas), serta izin membaca SMS, panggilan, dan notifikasi. Di dalam arsitektur Android, izin Aksesibilitas adalah “kunci suci” yang jika disalahgunakan dapat memberikan malware kemampuan untuk menekan tombol otomatis, membaca teks layar, dan menyetujui perintah sistem tanpa interaksi pengguna.

Taktik Manipulasi: Pencurian Data Lewat Sistem Overlay Palsu

Setelah berhasil mengumpulkan profil dasar perangkat (model ponsel, kapasitas RAM, versi Android) untuk membuat ID unik korban di server mereka, target utama Rokarolla adalah melakukan penjarahan finansial.

Malware akan memindai daftar aplikasi di ponsel korban untuk dicocokkan dengan 217 daftar target bank mereka. Jika ada yang cocok, Rokarolla akan langsung mengunduh templat halaman phising khusus dari server.

  • Pencurian Kredensial Bank: Saat korban membuka aplikasi perbankan atau dompet kripto asli mereka, Rokarolla secara instan akan menimpa layar tersebut menggunakan Halaman Login Palsu (Fake Overlay). Korban yang tidak menaruh curiga akan mengetikkan nama pengguna, kata sandi, dan nomor kartu kredit langsung ke tangan peretas.
  • Membajak Kunci Layar (PIN/Pola): Teknik overlay ini juga digunakan untuk memalsukan halaman penguncian ponsel. Dengan cara ini, peretas dapat merekam kode PIN atau pola kunci layar korban untuk tetap dapat mengoperasikan ponsel secara senyap saat korban sedang tidak menggunakan perangkatnya.
  • Teater Instalasi Fiktif: Untuk menyembunyikan aktivitas transfer uang ilegal yang sedang berjalan di latar belakang, malware akan memunculkan layar overlay penuh bertuliskan “Sedang Melakukan Instalasi Sistem” guna mencegah pengguna menekan tombol atau melihat notifikasi peringatan dari bank.

Persenjataan 137 Perintah Berbahaya Rokarolla

Zimperium bahkan telah membuat repositori khusus di GitHub untuk memetakan seluruh 137 kode perintah perintah yang dapat dieksekusi oleh operator Rokarolla. Beberapa kemampuan paling berbahaya dari malware ini meliputi:

  • Keylogger Konvensional: Merekam setiap ketukan papan tik (keyboard input) secara terus-menerus.
  • Pembajakan Komunikasi: Mencuri seluruh riwayat SMS, daftar kontak telepon biasa, hingga daftar kontak di aplikasi WhatsApp.
  • Blokir Peringatan Fraud: Memblokir panggilan telepon masuk atau pesan peringatan penipuan (fraud alerts) otomatis yang dikirimkan oleh sistem keamanan bank agar korban tidak menyadari rekeningnya sedang dikuras.
  • Spionase Visual: Mengambil tangkapan layar (screenshot) secara berkala serta merekam aktivitas konten UI layar dan mengunggahnya ke server peretas lengkap dengan stempel waktu (timestamps).
  • Fitur Anti-Deteksi: Menonaktifkan fungsi asli Google Play Protect, menyembunyikan ikon aplikasinya sendiri dari daftar menu (app drawer), serta mematikan fitur getar dan suara ponsel agar aktivitas ilegal berjalan mulus.

Langkah Mitigasi untuk Pengguna Android

Mengingat tingginya tingkat kecanggihan trojan perbankan modern seperti Rokarolla, para ahli keamanan siber dari Zimperium merekomendasikan langkah perlindungan mendasar berikut:

  1. Haramkan Unduhan APK Sembarangan: Jangan pernah mengunduh berkas file APK dari browser atau situs pihak ketiga, kecuali Anda benar-benar memverifikasi dan mempercayai penerbitnya. Selalu gunakan toko aplikasi resmi seperti Google Play Store.
  2. Karantina Izin Aksesibilitas: Periksa kembali menu pengaturan privasi ponsel Anda. Pastikan tidak ada aplikasi pihak ketiga tidak dikenal yang memiliki akses ke fitur Accessibility (Aksesibilitas).
  3. Gunakan Antivirus Seluler Terpercaya: Pasang peranti keamanan seluler bereputasi baik untuk memindai perangkat secara berkala dari potensi infeksi malware yang berjalan di latar belakang sistem.

Sumber: Zimperium Mobile Threat Defense Labs

Tags
1 hour ago
3 minutes read
Leave a Reply

Leave a Reply

Your email address will not be published. Required fields are marked *


Back to top button