Ancaman keamanan siber kembali menyasar pengguna smartphone Android. Tim riset Kaspersky mengungkap kampanye malware baru yang menyamar sebagai aplikasi layanan internet satelit Starlink, dengan tujuan menyusup ke perangkat korban melalui aplikasi palsu yang telah ditanami Trojan bernama BeatBanker.
Dalam rilis resminya, Kaspersky menyebut kampanye berbahaya ini saat ini banyak menargetkan pengguna di Brasil. Namun, para peneliti tidak menutup kemungkinan pengguna dari negara lain juga dapat menjadi sasaran serangan serupa.
Ancaman ini dinilai berbahaya karena tidak hanya berpotensi mencuri data, tetapi juga dapat menjalankan penambangan kripto secara diam-diam dan memberikan akses penuh kepada pelaku kejahatan siber terhadap perangkat korban.
Menurut Kaspersky, pelaku menyebarkan aplikasi Starlink palsu yang sebenarnya sudah disusupi Trojan BeatBanker. Aplikasi tersebut didistribusikan melalui halaman phishing yang dibuat menyerupai tampilan toko aplikasi resmi seperti Google Play Store.
Saat pengguna mengunduh dan menjalankan aplikasi palsu itu, antarmuka yang muncul dibuat mirip halaman Google Play asli. Tujuannya untuk meyakinkan korban agar memberikan izin instalasi tambahan. Setelah izin diberikan, aplikasi akan mengunduh berbagai modul berbahaya tanpa sepengetahuan pengguna.
Fabio Assolini, Kepala Unit Amerika dan Eropa di Kaspersky GReAT, menyebut kampanye ini menunjukkan perubahan taktik pelaku. “Awalnya BeatBanker menyamar sebagai aplikasi layanan publik dan menginstal Trojan perbankan serta penambang kripto. Kini para pelaku menggunakan umpan aplikasi Starlink untuk menjangkau lebih banyak korban dari berbagai negara,” ujarnya.
Setelah aktif, BeatBanker dilaporkan menjalankan penambang kripto untuk mata uang digital Monero. Malware ini juga memantau kondisi perangkat korban, termasuk persentase baterai, suhu smartphone, dan aktivitas pengguna. Berdasarkan informasi tersebut, malware menentukan kapan proses penambangan dijalankan atau dihentikan agar tidak terlalu mencurigakan.
Tidak berhenti di situ, Trojan ini juga memasang Remote Access Trojan (RAT) bernama BTMOB yang memungkinkan pelaku mengendalikan perangkat korban dari jarak jauh. Dengan kemampuan tersebut, penyerang dapat mengakses kamera depan dan belakang, melacak lokasi GPS, mengambil data sensitif, menangkap kredensial kunci layar seperti PIN, pola, atau kata sandi, serta menyembunyikan notifikasi sistem agar aktivitas berbahaya tidak terlihat.
Kaspersky menyebut BTMOB bahkan diperjualbelikan sebagai layanan Malware-as-a-Service, yang memungkinkan pihak lain membeli dan menggunakannya untuk melakukan serangan siber.
Untuk mempertahankan keberadaannya di perangkat korban, BeatBanker menggunakan teknik persistensi yang disebut unik. Malware menjalankan layanan latar belakang yang memutar file audio berulang dengan suara yang hampir tidak terdengar, sehingga sistem operasi Android menganggap aplikasi sedang digunakan dan tidak menutup prosesnya. Selain itu, malware mempertahankan notifikasi permanen di latar depan untuk mencegah sistem menghapus aktivitasnya.
Produk keamanan Kaspersky mendeteksi ancaman ini dengan nama HEUR:Trojan-Dropper.AndroidOS.BeatBanker dan HEUR:Trojan-Dropper.AndroidOS.Banker.*
Untuk mengurangi risiko terinfeksi malware seperti BeatBanker, Kaspersky merekomendasikan pengguna hanya mengunduh aplikasi dari toko aplikasi resmi seperti Apple App Store atau Google Play. Meski demikian, pengguna tetap diminta berhati-hati karena aplikasi berbahaya juga dapat menyusup ke platform resmi.
Pengguna juga disarankan memeriksa ulasan aplikasi sebelum mengunduh, memastikan tautan berasal dari situs resmi pengembang, serta memperhatikan izin yang diminta aplikasi. Jika sebuah aplikasi meminta akses berlebihan seperti Layanan Aksesibilitas, pengguna diminta mempertimbangkannya dengan sangat hati-hati.
Selain itu, pembaruan sistem operasi dan aplikasi perlu dilakukan secara rutin karena banyak celah keamanan dapat ditutup melalui pembaruan perangkat lunak. Kaspersky juga menyarankan penggunaan solusi keamanan untuk membantu mendeteksi dan memblokir aktivitas mencurigakan di perangkat.
