Tim Riset & Analisis Global (Global Research & Analysis Team/GReAT) Kaspersky menemukan aplikasi ilegal berupa malware Android yang menyamar sebagai aplikasi Starlink. Aplikasi palsu ini digunakan pelaku kejahatan siber untuk menyebarkan Trojan bernama BeatBanker.
Menurut Kaspersky, tujuan utama penyebaran Trojan tersebut adalah melakukan penambangan kripto serta mencuri kredensial korban. Target serangan disebut terutama mengarah ke pengguna di Brasil, meski para ahli Kaspersky tidak menutup kemungkinan pengguna di negara lain juga dapat menghadapi ancaman serupa.
BeatBanker diketahui digunakan sebagai penambang aset kripto Monero dan turut menginstal alat administrasi jarak jauh (remote administration tool/RAT) bernama BTMOB pada perangkat yang terinfeksi. Untuk mempertahankan keberadaannya di perangkat korban, BeatBanker memakai mekanisme tidak biasa yang melibatkan pemutaran berulang file audio yang nyaris tidak terdengar.
Kepala unit GReAT Amerika & Eropa di Kaspersky, Fabio Assolini, mengatakan pihaknya sebelumnya melihat BeatBanker didistribusikan dengan kedok aplikasi layanan publik. Saat itu, aplikasi tersebut memasang Trojan perbankan selain penambang kripto.
Namun, Kaspersky kemudian mendeteksi kampanye baru yang menggunakan varian BeatBanker berbeda. “Upaya deteksi terbaru kami mengungkap kampanye baru dengan varian BeatBanker lain yang menyebarkan RAT BTMOB alih-alih modul perbankan,” ujar Fabio Assolini, dikutip Jumat (13/3/2026).
Ia menambahkan, para penyerang tampaknya memakai umpan baru dengan menyamar sebagai aplikasi Starlink untuk menjangkau lebih banyak korban dari berbagai negara. Karena itu, pengguna diminta tetap waspada dan menggunakan solusi keamanan yang memadai untuk melindungi ponsel pintar mereka.
Kaspersky juga menilai aplikasi Starlink palsu yang membawa Trojan BeatBanker disebarkan melalui halaman phishing yang meniru tampilan Google Play Store. Setelah dijalankan di perangkat yang disusupi, Trojan menampilkan antarmuka yang juga menyerupai Google Play, lalu menipu korban agar memberikan izin instalasi. Izin tersebut kemudian membuka jalan bagi pengunduhan muatan berbahaya tambahan yang tersembunyi.
Dalam skenario serangan yang dijelaskan Kaspersky, saat pengguna menekan tombol “PERBARUI” di halaman Google Play palsu, penambang kripto Monero akan dijalankan. BeatBanker kemudian memantau persentase baterai, suhu ponsel, dan aktivitas pengguna, sebelum memulai atau menghentikan penambang kripto tersembunyi tersebut.
Selain itu, Trojan ini menginstal RAT BTMOB yang memungkinkan kendali jarak jauh penuh dan disebut dijual sebagai Malware-as-a-Service. BTMOB dilaporkan mampu memberikan izin secara otomatis, menyembunyikan notifikasi sistem, serta memiliki mekanisme untuk menangkap kredensial kunci layar, termasuk PIN, pola, dan kata sandi pada perangkat yang terinfeksi.
Malware tersebut juga disebut dapat memberi penyerang akses ke kamera depan dan belakang, memantau lokasi GPS, serta mengumpulkan data sensitif secara terus-menerus. Untuk menghambat penghapusan, BeatBanker mempertahankan notifikasi tetap di latar depan dan mengaktifkan layanan latar depan dengan pemutaran media senyap, yang dirancang agar sistem operasi tidak menghapus proses berbahaya.
Untuk mengurangi risiko ancaman seluler, Kaspersky merekomendasikan beberapa langkah. Pertama, unduh aplikasi hanya dari toko aplikasi resmi seperti Apple App Store dan Google Play, meski pengguna tetap diingatkan bahwa toko resmi tidak selalu bebas risiko. Kedua, periksa ulasan aplikasi, gunakan tautan dari situs web resmi, dan pertimbangkan memasang perangkat lunak keamanan yang andal untuk mendeteksi serta memblokir aktivitas berbahaya jika aplikasi ternyata palsu. Ketiga, periksa izin aplikasi dan pertimbangkan secara cermat sebelum memberikan izin, terutama izin berisiko tinggi seperti Layanan Aksesibilitas. Terakhir, pengguna disarankan selalu memperbarui sistem operasi dan aplikasi penting saat pembaruan tersedia, karena banyak masalah keamanan dapat diatasi dengan memasang versi perangkat lunak terbaru.
