Pemilik Smartphone Indonesia Jadi Sasaran Empuk Virus Trojan Triada

Suara.com - Kaspersky telah menemukan versi baru Trojan Triada yang canggih yang terpasang pada ponsel pintar (smartphone) Android palsu yang diduga dijual melalui pengecer yang tidak sah.

Tertanam dalam firmware sistem, malware tersebut beroperasi tanpa terdeteksi dan memberikan penyerang kendali penuh atas perangkat yang terinfeksi.

Lebih dari 2.600 pengguna di seluruh dunia telah terpengaruh.

Jumlah pengguna yang diserang tertinggi telah diamati di Rusia, Brasil, Kazakhstan, Jerman, dan Indonesia.

Tidak seperti malware seluler (mobile malware) biasa yang dikirimkan melalui aplikasi berbahaya.

Varian Triada ini terintegrasi ke dalam kerangka sistem, menyusup ke setiap proses yang sedang berjalan.

Hal ini memungkinkan berbagai macam aktivitas berbahaya, termasuk:

• Mencuri akun aplikasi perpesanan dan media sosial, termasuk Telegram, TikTok, Facebook, dan Instagram
• Mengirim dan menghapus pesan di aplikasi seperti WhatsApp dan Telegram
• Mengganti alamat dompet aset kripto
• Mengalihkan panggilan telepon dengan memalsukan ID pemanggil
• Memantau aktivitas browser dan menyuntikkan tautan
• Menyadap, mengirim, dan menghapus pesan SMS
• Mengaktifkan biaya SMS premium
• Mengunduh dan menjalankan muatan tambahan
• Memblokir koneksi jaringan untuk berpotensi melewati sistem anti-penipuan

“Trojan Triada telah berkembang menjadi salah satu ancaman paling canggih dalam ekosistem Android,” kata Dmitry Kalinin, analis malware di Kaspersky Threat Research, dalam keterangan resminya, Senin (7/4/2025).

Menurutnya, versi baru ini menyusup ke perangkat pada level firmware, bahkan sebelum mencapai pengguna, yang menunjukkan adanya kompromi rantai pasokan.

Menurut analisis sumber terbuka, penyerang telah menyalurkan setidaknya 270.000 Dolar AS atau sekitar Rp 4,59 miiar dalam aset kripto curian ke dompet mereka.

Meskipun jumlah sebenarnya mungkin lebih tinggi karena penggunaan koin yang tidak dapat dilacak seperti Monero.

Solusi Kaspersky mendeteksi varian ini sebagai Backdoor.AndroidOS.Triada.z.

Pertama kali ditemukan pada tahun 2016, Triada terus berkembang, memanfaatkan hak istimewa tingkat sistem untuk melakukan penipuan, membajak autentikasi SMS, dan menghindari deteksi.

Kampanye terbaru ini menandai eskalasi yang mengkhawatirkan, karena penyerang berpotensi mengeksploitasi kelemahan rantai pasokan untuk menyebarkan malware tingkat firmware pada
perangkat palsu.

Kasperky pun memberikan penjelasan cara kerja Trojan Triada.

Setelah diunduh dan diinstal, Trojan Triada pertama-tama mencoba mengumpulkan beberapa informasi tentang system, seperti model perangkat, versi OS, jumlah ruang kartu SD, daftar aplikasi yang diinstal, dan hal-hal lainnya.

Kemudian, Trojan tersebut mengirimkan semua informasi tersebut ke server Command & Control.

"Kami telah mendeteksi total 17 server C&C pada 4 domain yang berbeda, yang mungkin berarti para penjahat cukup paham dengan apa itu redundansi," tulis Kaspersky di situs resminya.

Server C&C kemudian merespons dengan berkas konfigurasi, yang berisi nomor identifikasi pribadi untuk perangkat dan beberapa pengaturan.

Seperti interval waktu antara menghubungi server, daftar modul yang akan diinstal, dan sebagainya.

Setelah modul diinstal, modul tersebut akan ditempatkan di memori jangka pendek dan dihapus dari penyimpanan perangkat, yang membuat Trojan jauh lebih sulit ditangkap.

Ada dua alasan lagi mengapa Triada sangat sulit dideteksi dan mengapa hal itu sangat mengesankan para peneliti.

Tijan Triada ini memodifikasi proses Zygote, merupakan proses inti dalam OS Android yang digunakan sebagai templat untuk setiap aplikasi.

Artinya, setelah Trojan masuk ke Zygote, ia menjadi bagian dari setiap aplikasi yang diluncurkan pada perangkat.