Malware Android Perseus Pantau Aplikasi Catatan untuk Curi Data Sensitif

Para peneliti keamanan siber baru-baru ini mengungkap keberadaan keluarga malware Android terbaru bernama Perseus yang sedang aktif menyebar di dunia maya dengan tujuan mengambil alih perangkat (device takeover/DTO) dan melakukan penipuan finansial.

Malware Perseus ini dibangun berdasarkan fondasi malware sebelumnya, yakni Cerberus dan Phoenix, namun dikembangkan menjadi platform yang lebih fleksibel dan mumpuni untuk mengkompromikan perangkat Android melalui aplikasi dropper yang didistribusikan lewat situs phishing.

Metode Kerja dan Target Perseus

Menurut laporan ThreatFabric yang dibagikan kepada The Hacker News, Perseus memanfaatkan sesi jarak jauh berbasis layanan aksesibilitas untuk memungkinkan pemantauan secara real-time dan interaksi tepat dengan perangkat yang terinfeksi. Hal ini memungkinkan pengambilalihan perangkat sepenuhnya dan menargetkan berbagai wilayah, khususnya Turki dan Italia.

"Selain pencurian kredensial tradisional, Perseus juga memantau catatan pengguna, menandakan fokus pada ekstraksi informasi pribadi atau finansial bernilai tinggi," ujar ThreatFabric.

Penggunaan layanan aksesibilitas ini memungkinkan malware mengambil alih izin tambahan, mencuri data sensitif, dan menampilkan layar palsu untuk menipu korban agar memasukkan data pribadi atau finansial mereka.

Sejarah dan Evolusi Malware Perseus

Malware Cerberus pertama kali didokumentasikan oleh perusahaan keamanan mobile Belanda pada Agustus 2019, dengan modus serangan yang memanfaatkan layanan aksesibilitas Android untuk mencuri informasi. Setelah kode sumbernya bocor pada 2020, muncul berbagai varian baru seperti Alien, ERMAC, dan Phoenix yang menjadi basis pengembangan Perseus.

Beberapa aplikasi yang digunakan Perseus untuk menyebar antara lain:

• Roja App Directa (com.xcvuc.ocnsxn) – sebagai dropper
• TvTApp (com.tvtapps.live) – payload Perseus
• PolBox Tv (com.streamview.players) – payload Perseus

Analisis ThreatFabric mengungkap bahwa Perseus memperluas basis kode Phoenix dan kemungkinan besar pengembangnya memanfaatkan model bahasa besar (large language model/LLM) untuk membantu pengembangan, terlihat dari logging aplikasi yang ekstensif dan penggunaan emoji dalam kode sumber.

Cara Penyebaran dan Teknik Pengelabuan Perseus

Sama seperti malware Android terbaru lainnya, Perseus menyamar sebagai layanan IPTV yang populer bagi pengguna yang ingin menginstal aplikasi pihak ketiga untuk menonton konten premium. Kampanye distribusi malware ini menargetkan negara-negara seperti Turki, Italia, Polandia, Jerman, Prancis, U.A.E., dan Portugal.

"Dengan menyisipkan payload dalam konteks yang sudah diterima pengguna, malware Perseus efektif mengurangi kecurigaan dan meningkatkan tingkat keberhasilan infeksi," ujar ThreatFabric.

Setelah berhasil terpasang, Perseus melakukan serangan overlay dan merekam ketukan tombol (keystroke) untuk menangkap input pengguna secara real-time. Malware ini menampilkan antarmuka palsu di atas aplikasi finansial dan layanan cryptocurrency untuk mencuri kredensial.

Fitur dan Perintah Jarak Jauh Perseus

Operator Perseus dapat mengendalikan perangkat korban melalui panel command-and-control (C2) dengan fungsi berikut:

1. scan_notes: Mengambil isi dari berbagai aplikasi catatan seperti Google Keep, Xiaomi Notes, Samsung Notes, ColorNote, Evernote, Simple Notes, dan Microsoft OneNote.
2. start_vnc: Memulai streaming visual layar korban secara hampir real-time.
3. stop_vnc: Menghentikan sesi streaming layar.
4. start_hvnc: Mengirim representasi terstruktur dari hierarki UI dan memungkinkan interaksi dengan elemen UI secara programatik.
5. stop_hvnc: Menghentikan sesi interaksi UI tersebut.
6. enable_accessibility_screenshot: Mengaktifkan pengambilan screenshot via layanan aksesibilitas.
7. disable_accessibility_screenshot: Menonaktifkan fitur screenshot.
8. unblock_app: Menghapus aplikasi dari daftar blokir.
9. clear_blocked: Menghapus seluruh daftar aplikasi yang diblokir.
10. action_blackscreen: Menampilkan layar hitam untuk menyembunyikan aktivitas perangkat dari pengguna.
11. nighty: Membisukan audio perangkat.
12. click_coord: Melakukan ketukan pada koordinat layar tertentu.
13. install_from_unknown: Memaksa instalasi aplikasi dari sumber tidak dikenal.
14. start_app: Meluncurkan aplikasi tertentu.

Deteksi dan Penilaian Lingkungan

Perseus menjalankan berbagai pemeriksaan lingkungan untuk mendeteksi debugger dan alat analisis seperti Frida dan Xposed, memverifikasi keberadaan SIM card, menghitung jumlah aplikasi terpasang, serta memeriksa nilai baterai guna memastikan perangkat asli digunakan, bukan emulator atau perangkat uji.

Hasil pemeriksaan ini digabungkan menjadi skor kecurigaan yang dikirim ke panel C2 untuk menentukan apakah operasi pencurian data harus dilanjutkan.

Analisis Redaksi

Menurut pandangan redaksi, kemunculan Perseus menandakan evolusi signifikan dalam malware Android yang tidak hanya mengandalkan teknik lama, tetapi juga mengintegrasikan inovasi seperti pemantauan aplikasi catatan yang jarang diincar malware lain. Hal ini menunjukkan bahwa pelaku kejahatan siber kini fokus pada pencurian data yang lebih bernilai dan detail, termasuk informasi yang tersimpan secara personal dan finansial di aplikasi catatan pengguna.

Strategi penyamaran sebagai layanan IPTV adalah langkah cerdas untuk menurunkan kecurigaan korban, mengingat popularitas aplikasi semacam itu di kalangan pengguna Android. Ini juga memperlihatkan bagaimana malware beradaptasi dengan tren penggunaan aplikasi sehari-hari agar serangan lebih efektif.

Ke depan, pengguna Android harus semakin waspada terhadap aplikasi dari sumber tidak resmi, terutama yang menjanjikan layanan premium dengan harga murah atau gratis. Pengembangan malware yang semakin canggih seperti Perseus menuntut peningkatan kesadaran dan penggunaan solusi keamanan yang bisa memantau aktivitas mencurigakan secara real-time.

Pihak berwenang dan pengembang sistem operasi juga perlu memperkuat mekanisme keamanan, khususnya terkait layanan aksesibilitas yang kerap dimanfaatkan untuk tujuan jahat seperti ini. Sosialisasi edukasi keamanan siber kepada masyarakat menjadi kunci utama untuk mencegah penyebaran malware yang merugikan.

Terus ikuti perkembangan terbaru tentang keamanan siber dan malware Android hanya di platform terpercaya kami.