Trojan Sturnus Intai WhatsApp dan Curi Login Mobile Banking

Dunia keamanan siber kembali diguncang dengan kemunculan jenis malware baru yang menyasar perangkat Android. Trojan perbankan bernama Sturnus menjadi perhatian besar para peneliti karena kemampuannya yang sangat canggih dan berbahaya. Tidak hanya mencuri kredensial perbankan seperti username dan password, Sturnus juga mampu mengambil alih perangkat korban sepenuhnya untuk melakukan penipuan finansial. Kemampuan ini menjadikannya salah satu ancaman digital yang paling mengkhawatirkan tahun ini.

Mengintip Chat Terenkripsi dengan Cara Licik

Fitur paling mencolok dari Sturnus adalah kemampuannya untuk melihat isi percakapan terenkripsi. Biasanya, aplikasi seperti WhatsApp, Telegram, dan Signal menggunakan sistem enkripsi end-to-end untuk melindungi privasi pengguna. Artinya, bahkan penyedia layanan sekalipun tidak dapat membaca isi chat pengguna.

Namun Sturnus menemukan celah yang tak terpikirkan banyak orang: bukan membobol enkripsi, tetapi merekam layar setelah pesan didekripsi oleh perangkat. Dengan teknik ini, trojan bisa memantau seluruh chat yang dibuka pemilik ponsel tanpa perlu meretas sistem enkripsinya sama sekali. Pengawasan terjadi secara diam-diam saat korban membuka aplikasi, sehingga pelaku kejahatan dapat melihat percakapan layaknya pengguna asli.

Serangan Overlay: Login Palsu yang Sulit Dibedakan

Selain mencuri isi chat, Sturnus juga dikenal karena teknik overlay attack. Trojan ini menampilkan halaman login palsu di atas aplikasi perbankan asli, sehingga pengguna tanpa curiga memasukkan username dan password. Setelah data berhasil dicuri, overlay otomatis dinonaktifkan agar tidak menimbulkan kecurigaan.

Lebih jauh lagi, Sturnus menyamar sebagai aplikasi yang terlihat normal—di antaranya:

• Google Chrome (nama paket: com.klivkfbky.izaybebnx)
• Preemix Box (nama paket: com.uvxuthoq.noscjahae)

Kemampuan manipulatif ini memungkinkan malware melewati radar pengguna kasual yang umumnya hanya memerhatikan nama aplikasi, bukan detail teknis pada paket instalasi.

Nama Unik dengan Kemampuan Komunikasi Rumit

Nama “Sturnus” ternyata bukan dipilih secara kebetulan. Malware ini menggunakan pola komunikasi campuran—plaintext, AES, dan RSA—yang rumit seperti burung Sturnus vulgaris (jalak Eropa) yang terkenal mampu meniru berbagai macam suara. Analogi ini menggambarkan fleksibilitas malware dalam berkomunikasi dengan server pengendalinya tanpa mudah terdeteksi.

Bagaimana Sturnus Mengambil Alih Perangkat?

Begitu terinstall, Sturnus langsung terhubung ke server jarak jauh melalui WebSocket dan HTTP untuk mendaftarkan perangkat dan menerima instruksi berbahaya. Lebih canggih lagi, malware membuka jalur komunikasi WebSocket yang memungkinkan pelaku mengendalikan perangkat korban secara langsung melalui sesi VNC (Virtual Network Computing).

Trojan ini memanfaatkan layanan Android Accessibility untuk melakukan aksi seperti:

• Merekam ketikan keyboard
• Melacak sentuhan dan aktivitas layar
• Mengambil data chat dari WhatsApp, Telegram, dan Signal
• Mengirimkan seluruh data tampilan layar ke server pelaku

Dengan informasi ini, kejahatan siber semakin mudah dilakukan. Penyerang dapat mengontrol ponsel korban dari jarak jauh dengan perintah otomatis seperti:

• Mengklik tombol apa pun
• Mengetik pesan
• Menggeser layar
• Menyetujui permintaan izin aplikasi
• Membuka aplikasi keuangan korban
• Mengaktifkan layar hitam untuk menyembunyikan aktivitas ilegal

Tidak berhenti sampai di situ, Sturnus juga dapat memanfaatkan sistem display capture Android untuk menampilkan tampilan layar korban secara real-time—layaknya remote desktop.

Taktik Licik untuk Menghindari Penghapusan

Sturnus dirancang agar sulit dihapus oleh pengguna biasa maupun profesional. Ketika korban mencoba masuk ke pengaturan untuk mematikan hak administrator aplikasi, malware langsung mendeteksi dan menggagalkan aksi tersebut dengan otomatis mengarahkan ulang ke halaman lain. Selama hak administrator belum dicabut secara manual:

• Aplikasi tidak bisa dihapus lewat menu penghapusan biasa
• Tidak bisa dihapus melalui ADB
• Tetap aktif meskipun pengguna mencoba berbagai cara

Malware ini bahkan dapat menampilkan overlay layar penuh mirip tampilan pembaruan sistem Android, sehingga pengguna mengira perangkat sedang update padahal malware sedang menjalankan aksi ilegal tanpa hambatan.

Pemantauan Perangkat Secara Menyeluruh

Sturnus tidak hanya mengincar data login atau chat. Malware ini melakukan monitoring lengkap pada perangkat untuk mengumpulkan informasi seperti:

• Sensor ponsel (gyroscope, GPS, proximity, dan lainnya)
• Kondisi jaringan
• Spesifikasi hardware
• Daftar aplikasi yang terpasang

Informasi ini digunakan sebagai sistem umpan balik guna menghindari deteksi sistem keamanan dan mengoptimalkan metode penyerangan.

Ancaman yang Sedang Berkembang, Bukan yang Terakhir

ThreatFabric mencatat bahwa penyebaran Sturnus saat ini masih terbatas dan kemungkinan pelaku sedang melakukan uji coba sebelum melancarkan serangan dalam skala besar. Target yang bersifat regional dan fokus pada aplikasi finansial bernilai tinggi menunjukkan bahwa operasi ini dilakukan secara profesional dan terstruktur.

Respons Google: Pengguna Android Sudah Dilindungi
Menanggapi temuan ini, Google menjelaskan:

“Pengguna telah terlindungi dari versi malware yang diketahui melalui Google Play Protect, yang aktif secara default pada perangkat Android yang menggunakan Google Play Services.”

Google Play Protect memang menjadi benteng pertama keamanan, namun perlindungan tetap tidak maksimal apabila pengguna menginstall aplikasi dari sumber luar (sideload) atau mengizinkan akses Accessibility sembarangan.

Kemunculan Trojan Sturnus menjadi pengingat bahwa ancaman digital semakin berkembang dan semakin canggih. Dengan kemampuan merekam chat terenkripsi, mencuri data perbankan, hingga mengambil alih perangkat sepenuhnya, malware ini menjadi peringatan keras bagi pengguna Android untuk selalu berhati-hati dalam menginstall aplikasi dan memberikan izin sistem.

Keamanan digital bukan hanya tanggung jawab penyedia teknologi, tetapi juga pengguna. Kewaspadaan sederhana seperti tidak mengaktifkan instalasi aplikasi dari sumber tidak dikenal, memeriksa izin aplikasi, dan mengandalkan Google Play Protect dapat menjadi penyelamat dari ancaman siber berbahaya seperti Sturnus.