Waspada Malware Rokarolla: Trojan Android yang Kuras Rekening hingga Kendalikan Perangkat

Suara.com - Malware baru bernama Rokarolla kini menjadi ancaman serius bagi pengguna Android, dengan kemampuan untuk membajak perangkat secara penuh, mencuri data kredensial dari lebih dari 200 aplikasi perbankan dan kripto, serta memanipulasi transaksi keuangan tanpa disadari pemiliknya.

Penemuan ini memicu peringatan keras dari para ahli agar masyarakat meningkatkan kewaspadaan saat mengoperasikan smartphone mereka.

Penyebaran malware Rokarolla ini umumnya terjadi melalui situs web berbahaya yang menyamar sebagai aplikasi populer, seperti Google Chrome atau TikTok.

Begitu pengguna mengunduh dan menginstal aplikasi tersebut, malware akan menggunakan teknik 'dropper' untuk melewati sistem keamanan Android dan mulai menargetkan 217 aplikasi keuangan serta kripto yang terpasang di perangkat.

Perusahaan keamanan siber terkemuka, Zimperium, mendeteksi bahwa trojan perbankan jenis baru ini memiliki kemampuan berbahaya untuk membobol ratusan platform keuangan.

Setidaknya terdapat lebih dari 200 aplikasi keuangan, termasuk aset kripto, yang masuk dalam daftar target operasi perangkat lunak jahat tersebut.

Menurut laporan teknis dari Zimperium, malware Rokarolla ini dibekali dengan 137 perintah jarak jauh yang memungkinkan penyerang untuk melakukan tindakan seperti menonaktifkan Google Play Protect, merekam layar, hingga menulis ulang isi papan klip (clipboard) untuk mengalihkan alamat dompet kripto milik pengguna ke alamat milik penyerang.

Dikutip dari SecurityWeek, kemampuan ini membuat korban sering kali tidak menyadari bahwa transaksi yang mereka lakukan telah dimanipulasi.

Berdasarkan laporan Zimperium, penyebaran malware Rokarolla memanfaatkan situs web palsu yang menyamar sebagai aplikasi populer berskala global.

Pengguna sering kali terkecoh karena program ini memalsukan diri sebagai peramban Google Chrome atau platform media sosial TikTok.

Setelah berhasil memikat korban untuk mengunduh aplikasi palsu tersebut, malware akan meluncurkan komponen utamanya.

Komponen berbahaya ini beroperasi dengan kedok sebagai sistem keamanan resmi Google Play Protect untuk mengelabui korban.

Ketika berhasil menginfeksi sistem operasi Android, trojan ini segera meminta akses perizinan yang sangat luas dari pengguna.

Tingkat perizinan yang tinggi ini memungkinkan pelaku kejahatan mengambil alih kendali penuh atas perangkat yang menjadi target.

Salah satu kemampuan paling mengerikan dari ancaman siber ini adalah kemampuannya merekam data rahasia pada layar kunci perangkat.

Melalui sistem pelacakan internal, ia dapat mencuri informasi PIN, pola, hingga kata sandi yang digunakan untuk mengunci ponsel.

Pengambilalihan perangkat pengguna ini tetap dapat berjalan dengan lancar meskipun ponsel korban berada dalam kondisi terkunci rapat.

Pelaku dapat dengan mudah menguras data sensitif berkat kelonggaran akses yang diperoleh dari kelengahan pengguna.

Berdasarkan investigasi mendalam dari tim Zimperium, trojan ini secara spesifik mampu merampas data dari 217 aplikasi perbankan dan aset kripto.

Mereka memanfaatkan teknik pemalsuan tampilan layar atau screen overlays untuk memancing korban memasukkan kredensial login.

Modus penipuan ini membuat korban tidak menyadari bahwa mereka sedang memasukkan informasi rahasia ke dalam sistem tiruan yang dikendalikan peretas.

Selain menyasar sektor finansial, perangkat lunak berbahaya ini juga mampu mengumpulkan informasi kontak dari aplikasi pesan WhatsApp.

Pemanfaatan fitur Accessibility Services secara ilegal menjadi senjata utama malware untuk merekam struktur tampilan layar yang sedang aktif.

Fitur Accessibility Services ini dirancang oleh Google untuk membantu pengguna dengan disabilitas, namun kerap disalahgunakan oleh malware untuk membaca isi layar, menyalin teks, dan bahkan melakukan input otomatis pada aplikasi keuangan.

Peneliti keamanan sering memperingatkan agar pengguna sangat berhati-hati dalam memberikan izin aksesibilitas kepada aplikasi yang tidak dikenal atau diunduh di luar Google Play Store.

Tidak berhenti di situ, program jahat ini juga dapat mencuri pesan SMS masuk dan membajak panggilan telepon penting.

Fitur keylogger yang tertanam di dalamnya memastikan setiap ketukan kibor yang diketik oleh korban dapat terekam secara utuh.

Sistem ini bahkan bisa memanipulasi papan klip (clipboard) untuk mengubah alamat dompet kripto tujuan menjadi alamat milik penyerang.

Untuk mendukung aksi spionase digital tersebut, malware ini secara berkala mengambil gambar tangkapan layar tanpa sepengetahuan pemilik perangkat.

Seluruh dokumentasi visual tersebut diproses secara sistematis sebelum dikirimkan ke peladen server milik pelaku kejahatan siber.

Mengenai mekanisme pengiriman data ilegal ini, pihak Zimperium memberikan penjelasan teknis yang mendalam mengenai format kompresinya.

Tindakan ini dilakukan agar aktivitas pencurian tidak memakan banyak ruang penyimpanan internal gawai.

"Malware ini secara sistematis mengambil tangkapan layar dari perangkat korban, mengompresnya ke dalam format PNG, dan mengeksfiltrasi data gambar tersebut bersama dengan penanda waktu yang tepat," catat pihak Zimperium dalam laporan resminya.

Demi menjaga kelangsungan operasinya di dalam sistem, malware Rokarolla menerapkan berbagai teknik canggih untuk menghindari deteksi dari sistem keamanan standar.

Salah satu langkah awal yang dilakukannya adalah menonaktifkan fungsi perlindungan bawaan dari Google Play Protect.

Pihak analis keamanan siber dari Zimperium memaparkan bagaimana cara perangkat lunak berbahaya ini mengisolasi diri dari pandangan pengguna secara visual. Strategi ini sangat efektif untuk memperpanjang masa infeksi di dalam gawai pintar korban.

"Awalnya ia menyembunyikan ikon aplikasinya dari laci aplikasi perangkat untuk menghindari deteksi visual," jelas Zimperium dalam memaparkan taktik kamuflase perangkat lunak tersebut.

"Melengkapi penghindaran visual ini, malware ini mampu mematikan semua audio dan getaran perangkat, memastikannya beroperasi dalam keheningan total selama aktivitas penipuan," tambah perwakilan lembaga keamanan siber tersebut.

Pembungkaman sistem suara ini terbukti sangat fatal karena dapat mengecoh tingkat kewaspadaan para pemilik smartphone.

Korban tidak akan pernah menerima indikasi adanya aktivitas transaksi ilegal yang sedang berjalan di latar belakang sistem mereka.

"Penekanan audio ini secara efektif menyembunyikan isyarat kritis, seperti notifikasi peringatan keamanan atau panggilan verifikasi masuk dari lembaga perbankan, secara signifikan mengurangi kemungkinan pengguna menyadari atau menghentikan proses transaksi," urai Zimperium lebih lanjut.

Melalui penyebaran ancaman baru ini, masyarakat sangat diimbau untuk selalu mengunduh aplikasi hanya melalui toko resmi seperti Google Play Store.

Menghindari tautan mencurigakan dari situs pihak ketiga adalah langkah preventif paling mendasar untuk melindungi aset finansial digital Anda.