Awas Malware Rokarolla Menyamar Jadi TikTok, Bisa Kuras Rekening

Malware perbankan jenis trojan bernama Rokarolla baru-baru ini ditemukan menyamar sebagai TikTok atau Google Chrome, lalu diam-diam mengambil alih kendali penuh perangkat korban.

Peneliti keamanan siber dari Zimperium zLabs mengidentifikasi trojan perbankan Android baru bernama Rokarolla. Malware ini dirancang khusus untuk mencuri kredensial dari 217 aplikasi perbankan dan aset kripto sekaligus mengambil alih kendali penuh perangkat korban.

Temuan yang dipublikasikan Zimperium pada pertengahan Juni ini menyebut nama Rokarolla diambil dari infrastruktur komando dan kontrol (C2) yang digunakan penyerang.

Rokarolla disebut menyebar melalui situs web berbahaya yang menyamarkan dirinya sebagai aplikasi populer seperti TikTok atau Google Chrome.

Korban ditipu untuk mengunduh aplikasi palsu tersebut, yang kemudian memasang muatan berbahaya tahap kedua berisi inti malware.

Selama proses instalasi, malware berpura-pura menjadi Google Play Protect untuk mengelabui korban agar memberikan izin akses Layanan Aksesibilitas (Accessibility Services) Android. Izin ini menjadi kunci kendali, karena dengan izin tersebut Rokarolla dapat membaca isi layar, meniru interaksi pengguna, dan mengeksekusi serangkaian perintah secara otomatis.

Rokarolla dilengkapi 137 perintah yang memungkinkan penyerang mengendalikan perangkat secara hampir menyeluruh.

Salah satu kemampuan paling berbahaya adalah pencurian kredensial kunci layar. Malware menampilkan tampilan palsu yang menyerupai layar kunci Android, sehingga saat korban memasukkan PIN, pola, atau kata sandi, data tersebut langsung dikirim ke server penyerang.

Dengan informasi ini, pelaku dapat mengakses perangkat bahkan dalam keadaan terkunci.

Cara Rokarolla kuras rekening dan intai korban

Berdasarkan temuan peneliti, berikut adalah modus operandi berbahaya yang dilakukan malware Rokarolla setelah berhasil menyusup ke perangkat Android:

• Memalsukan halaman login. Untuk mencuri kredensial perbankan, Rokarolla mengunduh halaman login palsu berbasis HTML dari server C2, lalu menampilkannya sebagai lapisan di atas aplikasi perbankan atau kripto yang sah. Ketika korban membuka aplikasi banknya dan memasukkan username maupun kata sandi, data itu tertangkap oleh overlay palsu tersebut, bukan oleh aplikasi bank yang asli.
• Mencegat SMS dan kode OTP. Malware ini juga mencuri seluruh pesan SMS dari perangkat dan mampu mengirim SMS atas nama korban. Kemampuan ini secara langsung membuka celah untuk mencegat kode OTP dari bank.
• Blokir panggilan masuk. Rokarolla juga dapat memblokir panggilan masuk, termasuk peringatan penipuan dari institusi keuangan.
• Pasang keylogger dan spyware. Kemudian, malware ini juga merekam semua ketikan pengguna melalui keylogger, menyalin dan memanipulasi isi clipboard serta mengambil tangkapan layar secara berkala dan mengirimkannya ke server penyerang.
• Menghilangkan jejak. Lebih lanjut, Rokarolla dirancang agar tidak mudah terdeteksi. Ikon aplikasinya disembunyikan dari laci aplikasi segera setelah terpasang.
• Membungkam notifikasi keamanan. Malware mematikan seluruh suara dan getaran perangkat agar notifikasi keamanan, termasuk panggilan verifikasi dari bank, tidak terdengar oleh korban.

Malware juga secara aktif mematikan Google Play Protect, lapisan keamanan bawaan Android, dan memaksa layar perangkat tetap menyala agar proses penipuan di latar belakang tidak terganggu oleh penguncian layar otomatis.

Untuk bertahan dari pemantauan, Rokarolla menggunakan beberapa domain cadangan dan dapat memperbarui server C2 aktifnya secara dinamis melalui perintah jarak jauh.