6 Malware Android Baru Serang Aplikasi Pembayaran Pix, Bank, dan Dompet Kripto

Peneliti keamanan siber baru-baru ini mengungkap adanya enam keluarga malware Android yang canggih dan dirancang khusus untuk mencuri data dari perangkat korban serta melakukan penipuan finansial secara real-time. Malware tersebut menargetkan aplikasi pembayaran instan Pix di Brasil, aplikasi perbankan, serta dompet kripto populer di kalangan pengguna Android.

Malware Android yang Menyerang Pembayaran Pix dan Aplikasi Bank

Salah satu malware paling menonjol adalah PixRevolution, yang menurut laporan Zimperium, secara khusus menyerang platform pembayaran cepat Brasil, Pix. Malware ini mampu membajak transfer dana secara langsung dan mengganti tujuan penerima dengan rekening milik pelaku kejahatan.

"Varian malware ini beroperasi secara tersembunyi di dalam perangkat hingga saat korban memulai transfer Pix," ujar Aazim Yaswant, peneliti keamanan.

Yang membedakan PixRevolution dari trojan perbankan tradisional adalah keterlibatan operator manusia atau kecerdasan buatan (AI) yang mengawasi layar perangkat secara real-time, siap untuk bertindak tepat saat transaksi terjadi.

Malware ini menyebar melalui laman palsu Google Play Store yang menyamar sebagai aplikasi resmi seperti Expedia, Sicredi, dan Correios. Setelah aplikasi berbahaya diinstal, pengguna diminta mengaktifkan layanan aksesibilitas yang memungkinkan malware mengendalikan perangkat secara luas.

PixRevolution juga menghubungkan perangkat korban ke server eksternal melalui port TCP 9000 untuk mengirimkan informasi perangkat secara berkala dan mengaktifkan pengambilan layar secara real-time menggunakan Android MediaProjection API.

Ketika korban memasukkan jumlah dan kunci Pix penerima, malware menampilkan overlay palsu bertuliskan "Aguarde..." (tunggu) yang menipu korban. Di balik layar, malware mengganti kunci Pix asli dengan milik pelaku untuk menyelesaikan transfer dana secara ilegal, lalu menampilkan konfirmasi transfer seolah-olah transaksi berhasil dilakukan.

"Dari sudut pandang korban, tidak ada yang aneh karena aplikasi hanya menampilkan indikator pemuatan singkat yang biasa terjadi saat transaksi bank legit," jelas Yaswant. Transfer ini bersifat instan dan final, membuat pemulihan dana sangat sulit.

Malware BeatBanker dan Teknik Persistensi Unik

Selain PixRevolution, pengguna Brasil juga menjadi target malware Android bernama BeatBanker, yang menyebar lewat situs phishing yang menyamar sebagai Google Play Store. BeatBanker mendapat nama dari teknik persistensi uniknya yaitu memutar file audio berdurasi 5 detik berbahasa Cina secara loop hampir tanpa suara untuk mencegah aplikasi dihentikan oleh sistem.

Malware ini juga menjalankan berbagai pemeriksaan runtime untuk mendeteksi lingkungan emulasi dan analisis, serta memonitor suhu baterai dan persentase daya untuk mengoptimalkan operasi penambangan cryptocurrency Monero yang dijalankannya.

Kaspersky menjelaskan bahwa BeatBanker mengandung beberapa komponen berbahaya, termasuk penambang kripto dan trojan perbankan yang mampu mengendalikan perangkat secara penuh dan menyajikan overlay layar palsu untuk mengganti alamat penerima transaksi USDT di aplikasi Binance dan Trust Wallet.

Selain itu, malware ini memantau aktivitas pengguna pada peramban populer seperti Chrome, Edge, Firefox, Brave, Opera, DuckDuckGo, dan lainnya untuk mengumpulkan data dan menerima perintah dari server C2 menggunakan Firebase Cloud Messaging (FCM).

Versi terbaru kampanye ini bahkan menjatuhkan BTMOB RAT yang menyediakan akses jarak jauh lengkap dan dikaitkan dengan aktor ancaman dari Suriah dengan alias EVLF. Kode sumber BTMOB juga ditemukan dijual di forum dark web, menunjukkan potensi kolaborasi pelaku kejahatan siber.

TaxiSpy RAT dan Kemampuan Pengawasan Lengkap

TaxiSpy RAT menggunakan servis aksesibilitas Android dan MediaProjection API, mirip dengan PixRevolution, untuk mencuri SMS, kontak, log panggilan, isi clipboard, daftar aplikasi terpasang, notifikasi, PIN layar kunci, dan keystroke dari perangkat korban. Malware ini menargetkan aplikasi perbankan, kripto, dan pemerintah Rusia dengan memberikan overlay layar untuk mencuri kredensial.

TaxiSpy menggabungkan fungsi trojan perbankan tradisional dengan kemampuan RAT (Remote Access Trojan) penuh, memungkinkan pelaku melakukan pengawasan menyeluruh dan menjalankan perintah yang dikirim melalui pesan push Firebase. Malware ini juga mengadopsi teknik penghindaran deteksi canggih seperti enkripsi perpustakaan native dan obfuscation string XOR bergulir.

Mirax, Oblivion, dan Layanan Malware-as-a-Service (MaaS)

Malware Android lain yang menarik perhatian adalah Mirax, yang dipasarkan sebagai layanan malware-as-a-service (MaaS) dengan harga hingga $2.500 per bulan. Mirax menawarkan overlay perbankan, pengumpulan data seperti keystroke dan pola kunci, serta proxy SOCKS5 untuk mengalihkan lalu lintas berbahaya melalui perangkat korban.

Selain itu, Oblivion adalah trojan akses jarak jauh baru yang dijual dengan harga $300 per bulan dan menjanjikan kemampuan untuk melewati deteksi dan fitur keamanan di perangkat dari berbagai produsen seperti Xiaomi, Samsung, OPPO, dan lainnya. Malware ini mengotomatiskan pemberian izin tanpa interaksi korban, menjadikannya ancaman serius terhadap pertahanan Android.

Menurut Certos, kombinasi fitur seperti bypass otomatis izin, kontrol jarak jauh tersembunyi, dan builder point-and-click membuat malware ini mudah digunakan oleh pelaku dengan kemampuan teknis minim.

SURXRAT dan Eksperimen AI dalam Malware Android

SURXRAT merupakan keluarga malware lain yang dijual melalui ekosistem MaaS berbasis Telegram dan dikembangkan oleh aktor ancaman Indonesia. Malware ini menyalahgunakan izin aksesibilitas untuk kendali persisten dan menggunakan infrastruktur C2 berbasis Firebase.

Yang unik, beberapa sampel terbaru mengintegrasikan modul model bahasa besar (Large Language Model/LLM), menunjukkan bahwa pelaku mulai bereksperimen dengan kecerdasan buatan (AI) untuk meningkatkan efektivitas dan menghindari deteksi. Modul AI ini hanya aktif ketika aplikasi game tertentu seperti Free Fire MAX dengan mod JUJUTSU KAISEN berjalan di perangkat korban.

Beberapa varian SURXRAT juga menyertakan modul pengunci layar bergaya ransomware yang memungkinkan operator mengunci perangkat korban dan menampilkan pesan pembayaran hingga tebusan dibayar.

"Perkembangan ini menunjukkan bagaimana framework RAT Android yang ada terus dimodifikasi dan diperluas untuk mempercepat siklus pengembangan malware dan menambahkan fitur pengawasan serta kontrol baru," kata Cyble.

Analisis Redaksi

Menurut pandangan redaksi, kemunculan beragam malware Android canggih yang menargetkan pembayaran digital dan dompet kripto menandai peningkatan signifikan dalam ancaman keamanan siber di Indonesia dan global. Pelaku kejahatan semakin memanfaatkan fitur aksesibilitas Android yang selama ini dianggap sebagai pintu belakang berbahaya, serta menggabungkan teknologi AI untuk operasi yang lebih lincah dan sulit dideteksi.

Hal ini tidak hanya mengancam keamanan dana digital pengguna, tetapi juga menyoroti perlunya peningkatan kesadaran masyarakat untuk menghindari instalasi aplikasi dari sumber yang tidak resmi dan selalu memperbarui sistem keamanan perangkat.

Kedepannya, pemerintah dan pengembang platform Android harus memperkuat proteksi terhadap penyalahgunaan aksesibilitas dan meningkatkan sistem deteksi dini untuk mencegah malware semacam ini berkembang. Pengguna juga perlu waspada terhadap permintaan izin aplikasi yang mencurigakan, terutama yang meminta aksesibilitas dan pengambilan layar.

Kesimpulan

Serangan malware Android terhadap aplikasi pembayaran Pix, perbankan, dan dompet kripto menunjukkan bahwa kejahatan siber semakin terorganisir dan memanfaatkan teknologi mutakhir. Dengan fitur pengawasan real-time, overlay palsu, dan kemampuan AI, malware jenis ini menjadi ancaman serius bagi keamanan finansial digital.

Penting bagi pengguna Android untuk selalu berhati-hati, mengunduh aplikasi hanya dari sumber terpercaya, dan menerapkan praktik keamanan siber yang baik. Sementara itu, pengawasan dan kolaborasi antar lembaga keamanan harus terus ditingkatkan agar mampu menghadapi ancaman yang semakin kompleks ini.

Ikuti terus perkembangan keamanan siber di platform kami untuk informasi terbaru dan tips perlindungan digital.