Perusahaan keamanan siber ThreatFabric mengungkap kemunculan trojan Android baru bernama Sturnus, malware canggih yang mampu mencuri isi pesan dari aplikasi perpesanan terenkripsi seperti WhatsApp, Telegram, dan Signal. Trojan ini menargetkan pengguna di kawasan Eropa Selatan dan Tengah, dengan tujuan utama mengambil alih perangkat secara penuh untuk melakukan penipuan perbankan.

Sturnus tidak meretas sistem enkripsi end-to-end, tetapi merekam konten langsung dari layar setelah pesan didekripsi oleh aplikasi resmi. Teknik tersebut dilakukan dengan menyalahgunakan fitur Accessibility Service di Android, yang seharusnya berfungsi membantu pengguna berkebutuhan khusus.

Dengan akses tersebut, Sturnus dapat membaca teks di layar, mencatat ketikan, mendeteksi aplikasi yang dibuka, menekan tombol, menggulir layar, hingga menavigasi antarmuka perangkat.

Saat pengguna mengakses WhatsApp, Signal, atau Telegram, malware otomatis merekam seluruh percakapan, nama kontak, pesan masuk dan keluar, serta teks yang sedang diketik.

“Kemampuan ini sangat berbahaya karena sepenuhnya menghindari enkripsi end-to-end dengan mengakses pesan setelah didekripsi, memberi penyerang akses langsung ke percakapan pribadi,” tulis ThreatFabric dalam laporannya.

Lebih jauh, Sturnus juga dapat mencuri kredensial perbankan melalui overlay HTML palsu dan menyediakan pengendalian jarak jauh penuh menggunakan Virtual Network Computing (VNC). Pelaku dapat menyetujui transaksi, memasukkan kode OTP, mengubah pengaturan sistem, hingga memasang aplikasi tambahan—semua tanpa diketahui korban berkat tampilan layar palsu seperti “Android System Update” atau overlay hitam.

Penyebaran dan Pencegahan

Sturnus diketahui disebarkan melalui file APK berbahaya yang menyamar sebagai aplikasi populer seperti Google Chrome atau Preemix Box. Meski metode distribusi belum sepenuhnya teridentifikasi, peneliti menduga melalui malvertising dan pesan langsung kepada calon korban.

Google memastikan pengguna dilindungi dari varian yang sudah dikenali melalui Google Play Protect, yang aktif secara default pada perangkat Android. Meski skala serangan saat ini masih kecil dan diduga dalam fase uji coba, kemampuan teknis Sturnus membuatnya berpotensi berkembang menjadi ancaman besar.

Pengguna Android disarankan untuk: