Waspada! Klopatra, Trojan Android Baru Penguras Rekening

Dunia keamanan siber kembali diguncang oleh kemunculan malware baru yang menargetkan pengguna Android. Kali ini, ancaman datang dari trojan perbankan bernama “Klopatra”, sebuah malware yang begitu canggih hingga mampu mengendalikan ponsel korban dari jarak jauh tanpa disadari. Dalam waktu singkat, malware ini telah menginfeksi lebih dari 3.000 perangkat — dengan mayoritas kasus dilaporkan di Spanyol dan Italia.

Menurut laporan perusahaan keamanan siber asal Italia, Cleafy, Klopatra bukan sekadar malware biasa. Ia merupakan Remote Access Trojan (RAT), sebuah program berbahaya yang memberi akses penuh kepada penjahat siber untuk mengontrol ponsel korban secara real-time. Dengan menggunakan teknologi Hidden Virtual Network Computing (VNC), Klopatra memungkinkan pelaku memantau, mengakses, dan bahkan melakukan transaksi perbankan dari perangkat korban seolah-olah mereka sedang memegang ponsel tersebut.

 
Asal-Usul Klopatra: Dijalankan oleh Kelompok Kriminal Berbahasa Turki

Berdasarkan hasil investigasi yang dilakukan Cleafy, Klopatra bukanlah proyek amatiran. Dari data yang dikumpulkan melalui server command-and-control (C2) serta analisis bahasa dalam kode sumbernya, para peneliti menduga bahwa malware ini dikendalikan oleh kelompok kriminal berbahasa Turki.

Menariknya, kelompok ini tidak menjual malware-nya secara publik seperti tren yang umum terjadi pada model Malware-as-a-Service (MaaS). Sebaliknya, mereka mengoperasikan Klopatra sebagai botnet pribadi, sebuah jaringan eksklusif yang hanya digunakan oleh kelompok internal mereka sendiri.

Cleafy mencatat bahwa sejak Maret 2025, sudah ditemukan lebih dari 40 versi berbeda dari Klopatra, menunjukkan bahwa pengembangnya terus memperbarui dan memodifikasi malware tersebut agar lebih sulit dideteksi.

 
Penyebaran Lewat Aplikasi Palsu IPTV

Salah satu alasan mengapa Klopatra bisa menyebar begitu cepat adalah karena teknik penyamarannya yang sangat meyakinkan. Malware ini menyamar sebagai aplikasi IPTV (televisi streaming) — layanan yang populer karena menawarkan akses ke saluran premium secara gratis atau murah.

Korban biasanya dibujuk melalui rekayasa sosial (social engineering) untuk mengunduh aplikasi palsu ini dari situs web tidak resmi atau melalui tautan yang dikirimkan lewat pesan. Dari luar, aplikasi tampak sah dan berfungsi seperti aplikasi streaming biasa. Namun, di balik tampilan menarik itu tersembunyi program pengantar malware (dropper app) yang berbahaya.

Banyak pengguna tergoda karena ingin menonton saluran TV berbayar tanpa harus berlangganan. Sayangnya, keinginan ini justru menjadi celah yang dimanfaatkan oleh pelaku untuk menanamkan malware di perangkat korban.

 
Tahapan Infeksi: Dari Instalasi Hingga Pengambilalihan

Begitu aplikasi IPTV palsu diinstal, ia akan meminta izin untuk menginstal paket dari sumber tidak dikenal. Jika pengguna mengizinkannya, aplikasi tersebut akan mengekstrak dan memasang muatan utama Klopatra, yang tersimpan rapi dalam file terenkripsi bernama JSON Packer.

Setelah aktif, Klopatra akan segera meminta akses ke layanan aksesibilitas (Accessibility Services) di sistem Android. Fitur ini sebenarnya diciptakan untuk membantu pengguna dengan keterbatasan fisik, namun dalam konteks malware, fitur tersebut menjadi alat pengawasan dan pengendalian yang sangat kuat.

Dengan akses ini, Klopatra bisa:

• Membaca teks yang muncul di layar,
• Merekam setiap ketikan pengguna,
• Mengklik tombol secara otomatis,
• Dan bahkan menavigasi sistem tanpa sepengetahuan korban.

Dalam waktu singkat, malware ini sudah memiliki kendali penuh atas perangkat, seolah-olah pelaku sedang menggunakan ponsel korban secara langsung.

 
Arsitektur Klopatra: Kombinasi Canggih yang Sulit Dideteksi

Cleafy menyebut Klopatra sebagai salah satu malware Android paling canggih yang pernah mereka temukan. Hal ini karena pengembangnya menggunakan arsitektur berlapis dan perlindungan tingkat profesional yang biasanya hanya ditemukan pada perangkat lunak komersial legal.

Klopatra menggunakan Virbox, sebuah alat perlindungan kode premium yang dirancang untuk mencegah pembajakan aplikasi atau rekayasa balik (reverse engineering). Namun di tangan penjahat siber, alat ini digunakan untuk tujuan sebaliknya yakni menyembunyikan aktivitas berbahaya dari sistem keamanan.

Selain itu, banyak fungsi utama Klopatra tidak ditulis dalam bahasa Java seperti kebanyakan aplikasi Android, tetapi menggunakan kode asli (native code). Pendekatan ini memberi lapisan perlindungan tambahan karena membuat malware lebih sulit dianalisis dan dilacak.

Klopatra juga dilengkapi dengan berbagai teknik pengamanan diri, seperti:

• Obfuscation (pengacakan kode) agar sulit dibaca oleh antivirus,
• Anti-debugging, untuk mencegah peneliti memeriksa proses kerjanya,
• Dan pemeriksaan integritas runtime, yang memastikan malware hanya berjalan di lingkungan asli, bukan laboratorium analisis.
   

Mengambil Alih Perangkat Secara Langsung dengan VNC Tersembunyi

Salah satu fitur paling berbahaya dari Klopatra adalah kemampuannya untuk mengontrol ponsel korban secara langsung dan real-time menggunakan VNC tersembunyi (Hidden Virtual Network Computing).

VNC umumnya digunakan untuk mengendalikan komputer dari jarak jauh. Dalam konteks Klopatra, teknologi ini memungkinkan pelaku melihat dan mengoperasikan ponsel korban seolah sedang berada di tangan mereka.

Yang lebih mengerikan, malware ini dapat menampilkan layar hitam palsu agar korban mengira ponselnya dalam keadaan mati. Sementara itu, di balik layar, pelaku dapat melakukan aksi berbahaya seperti:

• Membuka aplikasi perbankan,
• Melakukan transaksi,
• Mengubah kata sandi,
• Hingga menghapus aplikasi antivirus.

Klopatra bahkan bisa memberikan izin tambahan pada dirinya sendiri, membuatnya hampir mustahil dihapus secara manual. Jika mendeteksi keberadaan aplikasi keamanan, malware ini bisa menghapusnya secara otomatis.

 
Operasi Rahasia di Malam Hari

Para peneliti Cleafy menemukan bahwa Klopatra tidak beroperasi secara otomatis seperti kebanyakan malware lain. Sebaliknya, ada operator manusia yang secara aktif mengawasi dan mengendalikan proses serangan.

Biasanya, pelaku menunggu hingga malam hari, ketika korban sedang tidur dan ponselnya terhubung ke listrik. Pada saat itulah malware akan menurunkan kecerahan layar menjadi nol, menampilkan layar hitam palsu, dan berpura-pura bahwa ponsel sedang tidak aktif.

Dengan PIN atau pola kunci yang sebelumnya telah dicuri, pelaku kemudian membuka perangkat korban, mengakses aplikasi perbankan, dan melakukan transfer instan berulang kali ke rekening mereka.

Proses ini berlangsung tanpa menimbulkan kecurigaan sedikit pun. Saat korban bangun, saldo di rekeningnya sudah berkurang drastis dan yang lebih parah, jejak digital pelaku hampir mustahil dilacak.

 
Ancaman Serius bagi Dunia Keuangan Digital

Klopatra memang bukan trojan pertama yang menargetkan pengguna perbankan Android, namun kombinasi teknologi dan strategi yang digunakannya membuat malware ini menjadi salah satu ancaman paling serius bagi dunia keuangan digital saat ini.

Cleafy menilai Klopatra sebagai tonggak baru dalam profesionalisasi malware mobile. Para pelaku kini tidak hanya mengandalkan skrip sederhana, tetapi juga memanfaatkan alat perlindungan kode komersial untuk memperpanjang umur malware dan memaksimalkan keuntungan mereka.

Selain itu, fakta bahwa malware ini mampu menjalankan aksi secara manual dan terkoordinasi menunjukkan bahwa operasi di baliknya bukanlah sekadar eksperimen, melainkan kampanye kriminal yang terorganisir dengan baik.

 
Klopatra dan Ancaman Trojan Baru Lainnya

Penemuan Klopatra muncul hanya sehari setelah perusahaan keamanan lain, ThreatFabric, mengumumkan keberadaan trojan Android baru bernama Datzbro. Trojan ini juga memiliki kemampuan serupa — yakni mengambil alih perangkat dan melakukan transaksi keuangan tanpa izin pengguna.

Datzbro terutama menargetkan kelompok lansia, yang dianggap lebih rentan terhadap penipuan digital. Meski belum ditemukan hubungan langsung antara Datzbro dan Klopatra, kemunculan dua trojan canggih dalam waktu berdekatan menunjukkan bahwa ekosistem malware Android sedang berkembang pesat dan semakin berbahaya.

 
Tanggapan Google: Tidak Ada di Play Store

Menanggapi laporan ini, Google segera memberikan pernyataan resmi. Menurut juru bicara perusahaan kepada The Hacker News, tidak ada aplikasi yang terinfeksi Klopatra di Google Play Store.

“Berdasarkan deteksi kami saat ini, tidak ada aplikasi yang mengandung malware ini di Google Play,” ujar perwakilan Google. “Pengguna Android secara otomatis dilindungi dari versi malware yang sudah diketahui melalui Google Play Protect, yang aktif secara default di semua perangkat Android dengan layanan Google Play.”

Google Play Protect berfungsi sebagai lapisan pertahanan terakhir, yang dapat memblokir atau memperingatkan pengguna ketika mereka mencoba menginstal aplikasi berbahaya, bahkan jika aplikasi tersebut berasal dari luar Play Store.

Pelajaran untuk Pengguna: Waspadai Aplikasi Non-Resmi

Kasus Klopatra sekali lagi menegaskan pentingnya kewaspadaan digital. Banyak pengguna Android yang tanpa sadar membahayakan dirinya sendiri karena tergoda oleh aplikasi gratis atau ilegal dari sumber tidak resmi.

Untuk menghindari ancaman serupa, para ahli keamanan menyarankan langkah-langkah berikut:

• Unduh aplikasi hanya dari Google Play Store atau toko resmi lainnya.
• Nonaktifkan izin “instalasi dari sumber tidak dikenal” di pengaturan ponsel.
• Periksa ulang izin aksesibilitas, jangan berikan akses penuh kecuali benar-benar diperlukan.
• Gunakan antivirus terpercaya dan perbarui sistem keamanan secara rutin.
• Waspadai aplikasi yang meminta izin berlebihan seperti akses ke layar, SMS, atau layanan perbankan.

Dengan kesadaran dan kehati-hatian, pengguna Android dapat meminimalkan risiko menjadi korban trojan seperti Klopatra.

 
Klopatra, Simbol Evolusi Malware Modern

Klopatra bukan sekadar trojan perbankan baru — ia adalah simbol evolusi malware Android yang semakin kompleks dan berbahaya. Dengan menggabungkan teknologi VNC tersembunyi, perlindungan kode profesional, dan operasi manual yang terkoordinasi, Klopatra berhasil menembus lapisan keamanan tradisional dengan cara yang sangat licik.

Meski saat ini serangannya terkonsentrasi di Eropa, bukan tidak mungkin malware ini akan menyebar ke wilayah lain, termasuk Asia Tenggara. Oleh karena itu, kesadaran pengguna terhadap keamanan digital menjadi kunci utama dalam mencegah ancaman serupa.

Dunia siber kini sedang berada di titik di mana kejahatan digital tidak hanya bergantung pada kode, tetapi juga pada kecerdikan manusia di baliknya. Dan Klopatra, sayangnya, menjadi contoh sempurna dari kolaborasi antara teknologi tinggi dan niat jahat yang menakutkan.