Waspada! Malware Android Baru yang Bisa Curi Data dan Kunci HP

Ancaman keamanan siber kembali menghantui pengguna ponsel pintar berbasis Android. Kali ini, sebuah malware perbankan canggih bernama deVixor terdeteksi aktif menyerang pengguna dengan metode yang semakin berbahaya. Tidak hanya mencuri data keuangan, malware ini juga dibekali kemampuan ransomware yang memungkinkan pelaku mengunci perangkat korban dan meminta tebusan dalam bentuk aset kripto.

Kemunculan deVixor menandai evolusi baru dalam lanskap kejahatan siber mobile. Jika sebelumnya malware perbankan hanya berfokus pada pencurian username dan kata sandi, deVixor justru menghadirkan pendekatan yang lebih kompleks dan agresif. Malware ini menggabungkan pencurian data finansial, pengendalian perangkat dari jarak jauh, hingga pemerasan digital dalam satu platform serangan terintegrasi.

Peneliti keamanan siber mencatat, sejak Oktober 2025, telah ditemukan lebih dari 700 sampel malware deVixor yang beredar di dunia maya. Jumlah tersebut menunjukkan bahwa serangan ini bukan insiden tunggal, melainkan bagian dari kampanye terorganisasi yang terus dikembangkan oleh para pelaku kejahatan siber.

Menyamar sebagai Situs Otomotif, Jebak Korban dengan Diskon Fantastis

Salah satu faktor yang membuat deVixor berbahaya adalah cara penyebarannya yang rapi dan meyakinkan. Malware ini didistribusikan melalui situs web palsu yang menyamar sebagai perusahaan otomotif resmi. Situs tersebut dirancang semirip mungkin dengan website asli, lengkap dengan logo, foto kendaraan, dan informasi promo.

Korban dipancing dengan penawaran diskon kendaraan yang tidak masuk akal, sehingga mendorong rasa penasaran dan ketertarikan. Saat calon korban tertarik, mereka diarahkan untuk mengunduh file aplikasi Android (APK) dengan dalih aplikasi katalog, promo, atau pemesanan kendaraan.

Tanpa disadari, file APK tersebut berisi malware deVixor. Begitu aplikasi diinstal, malware langsung aktif dan mulai mengambil alih sejumlah fungsi penting di perangkat. Pada tahap ini, korban umumnya belum menyadari bahwa ponsel mereka telah terinfeksi.

Dikendalikan Lewat Telegram dan Sistem Server Ganda

Di balik layar, operasi deVixor dikendalikan melalui infrastruktur berbasis Telegram. Platform perpesanan ini dimanfaatkan pelaku untuk mengelola perangkat yang terinfeksi secara terpusat, mengirim perintah, serta memperbarui kemampuan malware dengan cepat.

Setiap perangkat korban diberikan identitas unik, sehingga pelaku dapat memantau, mengontrol, dan menargetkan korban secara spesifik. Dengan sistem ini, ratusan bahkan ribuan perangkat dapat dikendalikan secara bersamaan.

Dari sisi teknis, deVixor menggunakan dua sistem server berbeda untuk komunikasi. Firebase berfungsi sebagai saluran pengiriman perintah dari pelaku, sementara server command-and-control (C2) terpisah digunakan untuk menerima dan menyimpan data curian. Arsitektur ini dinilai cukup canggih karena memberikan fleksibilitas sekaligus menyulitkan upaya pelacakan oleh peneliti keamanan.

Analis dari perusahaan keamanan siber Cyble mengungkapkan bahwa deVixor terus mengalami pengembangan. Setiap versi baru membawa peningkatan kemampuan, baik dari sisi fitur serangan maupun teknik penghindaran deteksi oleh sistem keamanan Android.

Mengintai SMS untuk Mencuri Data Perbankan

Sasaran utama deVixor adalah informasi keuangan korban. Malware ini memindai ribuan pesan SMS di perangkat yang terinfeksi untuk mencari kata kunci yang berkaitan dengan perbankan dan transaksi keuangan.

Dengan memanfaatkan pola pencarian khusus, deVixor mampu mengekstrak saldo rekening, kode OTP (One-Time Password), hingga nomor kartu dari pesan SMS. Target utama serangan ini adalah bank-bank di Iran serta platform pertukaran aset kripto.

Tercatat lebih dari 20 institusi keuangan besar menjadi sasaran, termasuk Bank Melli Iran, Bank Mellat, serta platform kripto populer seperti Binance dan Ramzinex. Informasi yang berhasil dikumpulkan kemudian dikirimkan ke server pelaku untuk disalahgunakan.

Tidak berhenti di situ, deVixor juga menggunakan teknik injeksi JavaScript berbasis WebView. Ketika korban menerima notifikasi bank palsu dan mengetuknya, malware akan membuka halaman tiruan yang menyerupai tampilan resmi perbankan. Semua data yang diketik korban, mulai dari username hingga kata sandi, direkam dan dikirimkan ke pelaku secara real time.

Perangkat Dikunci, Tebusan Diminta dalam Kripto

Fitur paling mengkhawatirkan dari deVixor adalah modul ransomware yang tertanam di dalamnya. Saat pelaku mengaktifkan fitur ini, layar ponsel korban akan langsung terkunci. Korban tidak bisa mengakses aplikasi, data, maupun fitur perangkat lainnya.

Untuk membuka kembali perangkat, korban diminta membayar tebusan sebesar 50 TRX dalam bentuk mata uang kripto TRON. Pesan tebusan menampilkan alamat dompet kripto milik pelaku dan instruksi pembayaran yang jelas.

Bukti berupa tangkapan layar dari saluran Telegram pelaku menunjukkan banyak perangkat berhasil dikunci, menandakan bahwa praktik pemerasan ini bukan sekadar ancaman, melainkan benar-benar dijalankan.

Ancaman Nyata bagi Pengguna Android

Kemunculan deVixor menjadi peringatan keras bagi pengguna Android di seluruh dunia. Malware ini menunjukkan bahwa kejahatan siber mobile telah berevolusi menjadi lebih terorganisasi, lebih licik, dan lebih merugikan.

Para ahli keamanan menyarankan pengguna untuk tidak sembarangan mengunduh aplikasi di luar Google Play Store, mewaspadai penawaran yang terlalu bagus untuk menjadi kenyataan, serta rutin memperbarui sistem dan aplikasi keamanan.

deVixor membuktikan bahwa ponsel pintar kini bukan hanya alat komunikasi, tetapi juga target utama kejahatan digital yang dapat berdampak langsung pada keuangan dan privasi pengguna.