Technologue.id, Jakarta - Tim Riset dan Analisis Global atau Global Research and Analysis Team (GReAT) dari Kaspersky mengungkap kampanye malware Android baru yang menyebarkan Trojan bernama BeatBanker dengan menyamar sebagai aplikasi layanan internet satelit Starlink.

Dalam kampanye ini, pelaku kejahatan siber terutama menargetkan pengguna di Brasil. Namun para peneliti keamanan tidak menutup kemungkinan bahwa pengguna di negara lain juga dapat menjadi korban dari ancaman yang sama.

Malware BeatBanker tidak hanya berfungsi sebagai Trojan, tetapi juga membawa modul tambahan berbahaya. Setelah menginfeksi perangkat, malware ini dapat menjalankan penambang kripto untuk mata uang digital Monero serta menginstal alat administrasi jarak jauh (Remote Access Trojan/RAT) bernama BTMOB. Untuk mempertahankan keberadaannya di perangkat korban, BeatBanker bahkan menggunakan mekanisme tidak biasa berupa pemutaran file audio berulang yang hampir tidak terdengar.

Menurut Fabio Assolini, kampanye BeatBanker sebelumnya dikenal sebagai Trojan perbankan yang juga menjalankan penambang kripto. Namun pada varian terbaru yang ditemukan tim Kaspersky, malware ini kini menyebarkan RAT BTMOB alih-alih modul perbankan.

“Awalnya kami melihat BeatBanker didistribusikan dengan kedok aplikasi layanan publik yang menginstal Trojan perbankan selain penambang kripto. Namun, deteksi terbaru kami mengungkap kampanye baru dengan varian BeatBanker yang menyebarkan RAT BTMOB,” ujarnya.

Ia menambahkan bahwa para penyerang kini menggunakan umpan baru berupa aplikasi Starlink untuk menjangkau lebih banyak korban di berbagai negara. Karena itu, pengguna diminta tetap waspada dan menggunakan solusi keamanan yang memadai untuk melindungi ponsel pintar mereka.

Para peneliti Kaspersky menduga para pelaku menyebarkan aplikasi Starlink palsu melalui halaman phishing yang dirancang menyerupai toko aplikasi resmi seperti Google Play Store.

Ketika pengguna mengunduh dan menjalankan aplikasi tersebut, Trojan BeatBanker akan menampilkan antarmuka yang juga meniru tampilan Google Play. Dari sana, korban akan diarahkan untuk memberikan izin instalasi tambahan yang sebenarnya memungkinkan malware mengunduh muatan berbahaya lainnya secara tersembunyi.

Setelah pengguna mengklik tombol “Perbarui” di halaman palsu tersebut, penambang kripto untuk Monero akan aktif. Malware ini memantau kondisi perangkat seperti tingkat baterai, suhu ponsel, serta aktivitas pengguna. Berdasarkan data tersebut, sistem akan menentukan kapan penambang kripto dijalankan atau dihentikan agar aktivitasnya tidak mudah terdeteksi.

Selain itu, BeatBanker juga memasang RAT BTMOB yang memberikan kendali jarak jauh penuh kepada pelaku. Alat ini dijual sebagai layanan malware atau Malware-as-a-Service (MaaS) di pasar siber gelap.

Dengan RAT tersebut, penyerang dapat secara otomatis memberikan izin pada aplikasi berbahaya, menyembunyikan notifikasi sistem, serta mencuri kredensial kunci layar seperti PIN, pola, dan kata sandi perangkat. Malware juga memungkinkan akses ke kamera depan dan belakang, pelacakan lokasi GPS, serta pengumpulan data sensitif secara terus-menerus.

Untuk memastikan malware tetap aktif di perangkat korban, BeatBanker menggunakan teknik yang tidak lazim. Malware mempertahankan notifikasi permanen di latar depan dan menjalankan layanan latar belakang yang memutar media senyap. Taktik ini bertujuan agar sistem operasi tidak menghentikan proses berbahaya tersebut.

Produk keamanan Kaspersky mendeteksi ancaman ini dengan label HEUR:Trojan-Dropper.AndroidOS.BeatBanker dan HEUR:Trojan-Dropper.AndroidOS.Banker.*.

Untuk melindungi perangkat dari ancaman serupa, Kaspersky menyarankan pengguna untuk hanya mengunduh aplikasi dari toko resmi seperti Apple App Store dan Google Play. Meski demikian, pengguna tetap perlu berhati-hati karena aplikasi berbahaya terkadang masih bisa lolos ke platform resmi.

Pengguna juga dianjurkan untuk memperhatikan izin aplikasi, tidak mengunduh aplikasi dari tautan mencurigakan, serta menggunakan solusi keamanan seluler yang mampu mendeteksi ancaman malware secara dini.