Sturnus, Malware Baru yang Intai Pesan Terenkripsi Pengguna

Harianjogja.com, JAKARTA—Dengan memanfaatkan Accessibility Service, trojan Sturnus dapat membaca pesan dari WhatsApp hingga Telegram dan mengoperasikan ponsel korban secara diam-diam.

Melansir BleepingComputer, Rabu (26/11/2025), trojan ini menggunakan kombinasi komunikasi plaintext, RSA, dan AES dengan server command-and-control (C2), menandakan kemampuan teknis yang lebih maju.

Perusahaan keamanan siber ThreatFabric menjelaskan Sturnus dapat membaca isi pesan dari aplikasi yang menggunakan end-to-end encryption. Kemampuan ini bukan diperoleh dengan membobol sistem enkripsinya, melainkan dengan menangkap teks yang muncul di layar setelah didekripsi secara normal oleh aplikasi. Teknik tersebut dijalankan melalui penyalahgunaan fitur Accessibility Service di Android.

Selain memantau pesan, Sturnus dapat mencuri kredensial perbankan menggunakan overlay HTML palsu dan memberikan kendali penuh kepada pelaku melalui sesi VNC, sehingga perangkat dapat dioperasikan secara real time layaknya ponsel milik mereka sendiri.

Malware ini disebarkan melalui file APK berbahaya yang menyamar sebagai aplikasi seperti Google Chrome atau Preemix Box. Meski jalur distribusinya belum teridentifikasi, peneliti menduga metode penyebarannya melalui malvertising atau pesan langsung ke calon korban.

Setelah berhasil dipasang, Sturnus akan mendaftarkan perangkat korban ke server C2 melalui pertukaran kriptografi, kemudian membuka kanal HTTPS terenkripsi untuk pencurian data dan kanal WebSocket AES untuk kendali jarak jauh melalui VNC.

Dengan memanfaatkan akses Accessibility Service, Sturnus dapat membaca teks di layar, mendeteksi aplikasi yang dibuka, mencatat input keyboard, menekan tombol, menggulir layar, hingga menavigasi antarmuka ponsel. Malware ini juga meminta hak Device Administrator, yang membuatnya sulit dihapus bahkan menggunakan ADB.

Ketika pengguna membuka WhatsApp, Signal, atau Telegram, Sturnus dapat mendeteksi dan merekam seluruh percakapan, nama kontak, pesan masuk dan keluar, serta teks yang sedang diketik.

Melalui sesi VNC, pelaku dapat melakukan berbagai aksi secara diam-diam, termasuk menyetujui transaksi perbankan, memasukkan kode OTP, mengubah pengaturan sistem, hingga memasang aplikasi tambahan. Untuk menyamarkan aktivitas tersebut, Sturnus dapat menampilkan layar palsu seperti “Android System Update” atau overlay hitam.

ThreatFabric menilai serangan Sturnus masih berskala kecil dan kemungkinan besar merupakan fase pengujian. Namun fitur-fiturnya yang sudah setara dengan malware kelas atas membuatnya berpotensi berkembang menjadi ancaman besar. Saat ini, serangan terutama terdeteksi di Eropa Selatan dan Eropa Tengah.

Untuk mencegah infeksi, pengguna Android disarankan agar tidak mengunduh APK dari luar Google Play, memastikan Google Play Protect tetap aktif, serta berhati-hati saat memberikan izin Accessibility pada aplikasi apa pun.

Cek Berita dan Artikel yang lain di Harian Jogja, dan edisi cetak versi elektronik kami hadir di Epaper Harian Jogja.

Sumber : Bisnis