Berita Terbaru

Trojan Android Herodotus Tiru Manusia, Tipu Sistem Bank Online

Ilustrasi Cyber Security Android

Ilustrasi Cyber Security Android

Ancaman baru muncul di dunia keamanan digital. Trojan perbankan Android bernama Herodotus kini jadi sorotan karena kemampuannya meniru perilaku manusia saat beraksi. Malware ini tidak hanya mencuri data, tetapi juga mampu mengetik dengan kecepatan acak layaknya manusia agar tidak terdeteksi sistem keamanan bank.

 

Malware Canggih yang Meniru Perilaku Manusia

Peneliti keamanan siber dari perusahaan ThreatFabric menemukan malware baru bernama Herodotus, yang digunakan dalam serangan aktif terhadap pengguna Android di Italia dan Brasil. Tujuan utamanya adalah mengambil alih kendali perangkat korban (device takeover attack/DTO).

Yang membuat Herodotus berbahaya bukan sekadar kemampuannya mencuri data, tetapi juga kecerdasannya dalam meniru perilaku manusia. Malware ini bisa mengetik atau melakukan tindakan di layar dengan jeda acak, sehingga terlihat seperti aktivitas pengguna sungguhan. Teknik ini membuatnya mampu menembus sistem deteksi perilaku (behavioural biometrics) yang digunakan banyak bank untuk membedakan antara manusia dan bot.

“Herodotus dirancang untuk mengambil alih perangkat sambil meniru perilaku manusia agar bisa melewati sistem deteksi berbasis perilaku,” ungkap ThreatFabric dikutip daru laporan resminya.

 
Dijual di Forum Gelap Sebagai “Layanan Malware”

Herodotus pertama kali muncul di forum bawah tanah pada 7 September 2025 dalam skema malware-as-a-service (MaaS) — model bisnis di mana pembuat malware menjual atau menyewakan program jahat kepada pihak lain.

Trojan ini diklaim kompatibel dengan Android versi 9 hingga 16, menjadikannya ancaman luas bagi berbagai perangkat modern.

Meski bukan turunan langsung dari malware Brokewell, ThreatFabric menemukan bahwa Herodotus menggunakan beberapa teknik yang sama, termasuk metode penyamaran kode (obfuscation) serta istilah teknis yang mengacu pada Brokewell di dalamnya, seperti “BRKWL_JAVA”.

 
Menyamar Sebagai Aplikasi Google Chrome

Seperti banyak Trojan Android lainnya, Herodotus menyalahgunakan fitur Accessibility Services di Android untuk mengendalikan perangkat korban.

Malware ini biasanya menyebar lewat SMS phishing atau tautan palsu yang mengarahkan korban untuk mengunduh aplikasi berbahaya yang menyamar sebagai Google Chrome (dengan nama paket com.cd3.app).

Setelah terpasang di perangkat, Herodotus mulai menjalankan serangkaian tindakan berbahaya, seperti:

  • Mengendalikan layar dan interaksi pengguna,
  • Menampilkan lapisan overlay agar aktivitas jahat tidak terlihat,
  • Mencuri kredensial login dengan menampilkan halaman masuk palsu di atas aplikasi bank,
  • Mengambil kode otentikasi dua faktor (2FA) dari SMS,
  • Merekam tampilan layar,
  • Memberikan izin tambahan untuk dirinya sendiri,
  • Mencuri PIN atau pola kunci layar,
  • Hingga menginstal file APK berbahaya dari jarak jauh.

Dengan kemampuan tersebut, Herodotus dapat sepenuhnya mengendalikan perangkat dan akun keuangan korban tanpa disadari.

 
Teknik Unik: Mengetik Layaknya Manusia

Salah satu fitur paling menarik sekaligus berbahaya dari Herodotus adalah kemampuannya mengetik seperti manusia.

ThreatFabric menjelaskan bahwa malware ini menambahkan jeda acak antara 300 hingga 3.000 milidetik (0,3–3 detik) setiap kali mengetik atau mengirim input teks. Jeda acak tersebut membuat kecepatan mengetik tampak alami, bukan secepat mesin, sehingga sulit dideteksi oleh sistem anti-fraud berbasis waktu dan perilaku.

“Dengan memberi jeda acak seperti perilaku manusia, pelaku kejahatan mencoba menghindari deteksi dari sistem anti-penipuan berbasis perilaku,” jelas ThreatFabric.

Teknik ini menandai evolusi baru dalam malware perbankan, di mana ancaman tidak hanya bersifat otomatis, tetapi juga dirancang untuk “berperilaku” seperti manusia demi menipu sistem keamanan yang semakin canggih.

 
Menyebar ke Berbagai Negara

Investigasi ThreatFabric menemukan bahwa Herodotus tidak hanya menargetkan Italia dan Brasil. Malware ini juga memiliki halaman overlay palsu yang dirancang untuk lembaga keuangan di Amerika Serikat, Turki, Inggris, dan Polandia, serta platform dompet dan bursa kripto.

Artinya, pengembang Herodotus tampak berambisi memperluas operasi globalnya. Mereka juga terus mengembangkan fitur baru agar malware ini bisa bertahan lama di perangkat dan beroperasi secara real time.

Berbeda dari Trojan lama yang hanya mencuri data login, Herodotus mampu mengambil alih sesi aktif pengguna (live session hijacking). Ini membuatnya jauh lebih berbahaya karena dapat bertindak langsung di dalam akun korban yang sedang aktif tanpa perlu mencuri kata sandi terlebih dahulu.

 
Ancaman Lain: GhostGrab, Malware Ganda yang Tambang Kripto

Selain Herodotus, perusahaan keamanan CYFIRMA juga melaporkan kemunculan malware baru bernama GhostGrab. Berbeda dengan Herodotus yang fokus mencuri data keuangan, GhostGrab memiliki dua fungsi sekaligus:

  • Mencuri kredensial perbankan dan data pribadi,
  • Menambang mata uang kripto Monero secara diam-diam di perangkat korban.

Kampanye GhostGrab menargetkan pengguna Android di India. Aplikasi berbahayanya menyamar sebagai aplikasi keuangan resmi, kemudian meminta izin REQUEST_INSTALL_PACKAGES agar bisa menginstal aplikasi tambahan tanpa melewati Google Play Store.

Setelah terpasang, GhostGrab meminta banyak izin berisiko, termasuk akses untuk:

  • Meneruskan panggilan telepon,
  • Membaca dan mencuri pesan SMS,
  • Menampilkan halaman WebView palsu yang menyerupai formulir KYC (Know Your Customer) untuk mencuri informasi pribadi seperti nomor kartu, PIN ATM, hingga nomor Aadhaar (ID nasional India).

“GhostGrab adalah ancaman hibrida yang menggabungkan penambangan kripto tersembunyi dengan pencurian data finansial,” jelas CYFIRMA. “Malware ini dirancang untuk mencuri informasi sensitif seperti kredensial bank, detail kartu debit, dan kode OTP dari SMS.”

 
Google Play Protect Beri Lapisan Pertahanan

Menanggapi temuan ini, Google memastikan bahwa pengguna Android tetap mendapatkan perlindungan dasar dari malware jenis ini.

Menurut juru bicara Google yang dilandir dari The Hacker News,

“Pengguna Android secara otomatis dilindungi dari versi malware yang sudah dikenal melalui Google Play Protect, yang aktif secara default di perangkat Android dengan layanan Google Play.”

Play Protect mampu memblokir atau memperingatkan pengguna jika sebuah aplikasi menunjukkan perilaku mencurigakan, terlepas dari sumber instalasinya, bahkan bila aplikasi tersebut tidak berasal dari Play Store.

 
Tetap Waspada: Jangan Unduh Aplikasi dari Sumber Tidak Resmi

Kasus Herodotus dan GhostGrab menjadi pengingat bahwa ancaman siber di Android semakin canggih dan sulit dikenali. Pengguna disarankan untuk:

  • Tidak menginstal aplikasi dari tautan atau pesan SMS yang mencurigakan,
  • Selalu memperbarui sistem operasi dan aplikasi keamanan,
  • Aktifkan Google Play Protect,
  • Dan hindari memberikan izin berlebih pada aplikasi yang tidak dikenal.

Dengan semakin majunya kemampuan malware seperti Herodotus yang bisa “berperilaku manusia”, keamanan digital kini tidak hanya bergantung pada teknologi, tetapi juga pada kewaspadaan pengguna dalam menjaga perangkatnya dari serangan yang tampak semakin pintar dan realistis.

Bagikan artikel ini
Komentar ()

Berlangganan

Berlangganan newsletter kami dan dapatkan informasi terbaru.

Artikel Terkait

Video Terkait