Berita Terbaru

Malware Android Menyamar Antivirus FSB, Eksekutif Jadi Target

Ilustrasi Malware Android

Ilustrasi Malware Android

Dunia keamanan siber kembali diguncang dengan temuan malware Android baru yang menyamar sebagai perangkat lunak antivirus palsu. Malware ini tidak main-main, karena tampil seolah-olah dibuat oleh Dinas Keamanan Federal Rusia (FSB) dan ditujukan untuk menyerang para eksekutif perusahaan di Rusia.

Temuan mengejutkan ini datang dari perusahaan keamanan mobile asal Rusia, Dr. Web, yang melaporkan bahwa ancaman baru tersebut dilacak dengan nama “Android.Backdoor.916.origin”. Menurut para peneliti, malware ini tidak memiliki keterkaitan dengan keluarga malware yang sudah dikenal sebelumnya, sehingga muncul sebagai ancaman baru dengan cara kerja yang cukup canggih.

 
Kemampuan Malware yang Mengkhawatirkan

Android.Backdoor.916.origin bukan sekadar aplikasi berbahaya biasa. Malware ini memiliki sederet kemampuan berbahaya yang dapat mengancam privasi, keamanan, dan kerahasiaan data penggunanya.

Dr. Web mencatat bahwa malware tersebut dapat:

  • Mendengarkan percakapan pengguna melalui mikrofon.
  • Melakukan siaran langsung menggunakan kamera ponsel tanpa sepengetahuan pemiliknya.
  • Merekam ketikan pengguna dengan keylogger, termasuk password dan data sensitif.
  • Mencuri data komunikasi dari aplikasi pesan instan seperti WhatsApp, Telegram, hingga email.

Sejak pertama kali ditemukan pada Januari 2025, malware ini terus mengalami pembaruan. Beberapa versi baru muncul, menunjukkan adanya pengembangan berkelanjutan oleh pihak di baliknya. Hal ini menandakan bahwa pembuat malware serius ingin mempertahankan dan menyempurnakan ancaman tersebut.

 
Fokus Serangan pada Pengguna di Rusia

Salah satu hal yang menegaskan target spesifik malware ini adalah antarmukanya yang hanya tersedia dalam bahasa Rusia. Dr. Web menyebutkan bahwa pola penyebaran, metode infeksi, serta penggunaan nama yang berbau lembaga resmi menunjukkan bahwa target utamanya adalah para eksekutif bisnis di Rusia.

Ada dua strategi penyamaran yang ditemukan:

  • “GuardCB” – menyamar sebagai aplikasi resmi dari Bank Sentral Rusia.
  • “SECURITY_FSB” dan “ФСБ” (FSB) – berpura-pura sebagai perangkat lunak antivirus dari badan intelijen Rusia.

Dengan menggunakan nama-nama tersebut, pembuat malware berharap korbannya percaya bahwa aplikasi tersebut adalah perangkat lunak keamanan resmi, padahal kenyataannya justru berbahaya.

 
Antivirus Palsu untuk Menipu Korban

Walaupun tidak memiliki fungsi keamanan nyata, aplikasi ini berpura-pura sebagai antivirus. Saat dijalankan, aplikasi akan menampilkan tombol “scan” seolah melakukan pemindaian.

Namun kenyataannya, pemindaian itu hanyalah simulasi. Dalam 30% kasus, aplikasi akan menampilkan hasil positif palsu, lengkap dengan jumlah deteksi acak antara satu hingga tiga. Tujuannya jelas: membuat korban yakin bahwa aplikasi ini benar-benar bekerja.

 
Akses Izin yang Berbahaya

Untuk menjalankan aksinya, malware ini meminta izin yang sangat berisiko. Setelah diinstal, aplikasi palsu tersebut akan memohon akses ke berbagai fitur penting ponsel, antara lain:

  • Lokasi pengguna (geo-location).
  • SMS dan file media.
  • Kamera serta rekaman suara.
  • Accessibility Service.
  • Izin untuk berjalan di latar belakang tanpa henti.

Jika pengguna lengah dan memberikan izin, maka ponsel mereka akan sepenuhnya dikendalikan oleh penyerang.

 
Kendali Jarak Jauh dari Server C2

Setelah mendapat akses, malware ini akan terhubung dengan server Command & Control (C2). Dari server inilah penyerang bisa mengirim berbagai perintah berbahaya, termasuk:

  • Mencuri SMS, daftar kontak, riwayat panggilan, lokasi, hingga gambar tersimpan.
  • Mengaktifkan mikrofon dan kamera untuk memata-matai korban secara real-time.
  • Menangkap input teks dan isi pesan dari aplikasi seperti Telegram, WhatsApp, Gmail, Chrome, dan Yandex.
  • Menjalankan perintah shell, menjaga aplikasi tetap aktif, serta mencegah dirinya dihapus oleh pengguna.

Dr. Web juga menemukan bahwa malware ini dilengkapi dengan fitur berpindah-pindah server. Setidaknya ada 15 penyedia hosting berbeda yang digunakan. Meski belum sepenuhnya aktif, fitur ini menunjukkan bahwa malware didesain agar tahan lama dan sulit diberantas.

 
Indikator Serangan dan Peringatan bagi Komunitas Keamanan

Untuk membantu komunitas keamanan siber dalam mendeteksi dan mencegah penyebaran lebih lanjut, para analis Dr. Web telah membagikan Indicator of Compromise (IoC) terkait Android.Backdoor.916.origin di repositori GitHub.

IoC ini dapat digunakan oleh perusahaan, peneliti, maupun individu yang peduli terhadap keamanan untuk mengidentifikasi apakah perangkat mereka pernah terinfeksi malware ini.

 
Ancaman Serius Bagi Dunia Bisnis

Serangan malware yang menyamar sebagai antivirus ini menunjukkan bahwa pelaku kejahatan siber semakin cerdas dalam menyusun strategi. Dengan menargetkan eksekutif perusahaan di Rusia, pembuat malware berpotensi mendapatkan akses ke informasi sensitif perusahaan, mulai dari komunikasi internal, data keuangan, hingga strategi bisnis.

Bagi kalangan bisnis, kasus ini menjadi peringatan keras bahwa serangan siber tidak hanya menargetkan individu biasa, tetapi juga para pengambil keputusan penting. Jika data mereka bocor, dampaknya bisa meluas hingga ke stabilitas bisnis dan ekonomi.

Para ahli keamanan menekankan pentingnya kehati-hatian saat mengunduh aplikasi, terutama yang mengatasnamakan lembaga resmi. Selain itu, perusahaan juga disarankan untuk memperkuat sistem keamanan mobile para eksekutifnya, agar tidak menjadi korban serangan canggih seperti ini.

Bagikan artikel ini
Komentar ()

Berlangganan

Berlangganan newsletter kami dan dapatkan informasi terbaru.

Artikel Terkait

Video Terkait