ZeroDayRAT Dijual Bebas, Android dan iPhone Terancam

Peneliti keamanan siber kembali membunyikan alarm bahaya. Sebuah platform spyware (perangkat lunak mata-mata) mobile baru bernama ZeroDayRAT terungkap beredar dan dipromosikan secara terbuka melalui Telegram. Malware ini diklaim mampu mencuri data sensitif sekaligus melakukan pengawasan real-time terhadap perangkat Android dan iOS, menjadikannya salah satu ancaman mobile paling serius saat ini.

Temuan ini diungkap oleh Daniel Kelley, peneliti keamanan dari iVerify. Ia menjelaskan bahwa pengembang ZeroDayRAT tidak beroperasi secara sembunyi-sembunyi di forum gelap semata, melainkan menjalankan kanal Telegram khusus untuk penjualan, dukungan pelanggan, hingga pembaruan sistem. Model bisnisnya menyerupai layanan perangkat lunak legal, lengkap dengan panel kontrol dan panduan penggunaan.

“Platform ini melampaui pengumpulan data biasa. Ia memungkinkan pengawasan langsung dan bahkan pencurian finansial secara aktif,” ungkap Kelley.

Dijual Bebas, Siap Pakai

ZeroDayRAT dirancang kompatibel dengan Android versi 5 hingga 16 serta iOS hingga versi 26. Malware ini diduga disebarkan melalui teknik rekayasa sosial (social engineering), seperti tautan phishing, pesan palsu, atau toko aplikasi tidak resmi yang meniru layanan asli.

Pembeli spyware akan mendapatkan “builder” atau alat pembuat file berbahaya (binary). Dengan tool ini, pelaku dapat menghasilkan aplikasi berbahaya yang kemudian didistribusikan ke target. Selain itu, tersedia panel online yang bisa dipasang di server pribadi pelaku, sehingga seluruh data korban dapat dipantau melalui dashboard berbasis web.

Model distribusi seperti ini membuat ZeroDayRAT tidak hanya canggih, tetapi juga mudah dioperasikan oleh pelaku yang mungkin tidak memiliki kemampuan teknis tinggi.

Mengubah Ponsel Jadi Alat Mata-Mata

Begitu perangkat korban terinfeksi, pelaku dapat mengakses beragam informasi sensitif. Melalui panel kontrol, mereka bisa melihat:

• Model dan tipe perangkat
• Sistem operasi yang digunakan
• Status baterai
• Informasi SIM dan operator seluler
• Riwayat penggunaan aplikasi
• Notifikasi masuk
• Pratinjau SMS terbaru

Data tersebut memungkinkan pelaku membangun profil korban secara rinci—mulai dari kebiasaan komunikasi hingga aktivitas digital sehari-hari.

Tak hanya itu, ZeroDayRAT juga menampilkan koordinat GPS korban secara real-time yang dipetakan langsung ke Google Maps. Bahkan, riwayat lokasi sebelumnya turut tersimpan, sehingga pergerakan korban dari waktu ke waktu bisa dilacak. Dalam praktiknya, fitur ini mengubah ponsel pintar menjadi alat pelacak permanen.

Salah satu fitur paling berbahaya adalah tab “akun”. Di bagian ini, seluruh akun yang terdaftar pada perangkat akan ditampilkan, lengkap dengan nama pengguna atau alamat email yang terkait. Daftar tersebut mencakup akun Google, WhatsApp, Instagram, Facebook, Telegram, Amazon, Flipkart, PhonePe, Paytm, Spotify, dan berbagai layanan digital lainnya.

Bisa Aktifkan Kamera dan Mikrofon

Kemampuan ZeroDayRAT tidak berhenti pada pencurian data statis. Malware ini juga memiliki fitur pengawasan aktif. Di antaranya:

• Merekam setiap ketikan (keylogging)
• Mengambil SMS, termasuk kode OTP untuk melewati autentikasi dua faktor
• Mengaktifkan kamera secara langsung untuk memantau situasi sekitar korban
• Mengaktifkan mikrofon untuk menyadap percakapan

Artinya, pelaku dapat memantau korban secara real-time dari jarak jauh hanya melalui browser. Akses ini mencakup lokasi, pesan pribadi, aktivitas keuangan, hingga rekaman suara dan gambar.

Targetkan Dompet Kripto dan Pembayaran Digital

ZeroDayRAT juga dirancang untuk tujuan finansial. Malware ini memiliki modul pencuri (stealer) yang memindai aplikasi dompet kripto seperti MetaMask, Trust Wallet, Binance, dan Coinbase.

Salah satu teknik yang digunakan adalah manipulasi clipboard. Saat korban menyalin alamat dompet kripto untuk melakukan transfer, malware akan menggantinya secara diam-diam dengan alamat milik pelaku. Akibatnya, dana korban dialihkan tanpa disadari.

Selain kripto, ZeroDayRAT juga menargetkan layanan pembayaran digital seperti Apple Pay, Google Pay, PayPal, dan PhonePe. Dengan mengakses data autentikasi dan pesan OTP, pelaku dapat melakukan transaksi ilegal atau membobol akun keuangan korban.

Menurut Kelley, toolkit seperti ini sebelumnya hanya dimiliki oleh aktor negara atau kelompok peretas tingkat tinggi. Kini, alat serupa dapat dibeli bebas di Telegram, lengkap dengan layanan dukungan teknis.

Tren Ancaman Mobile yang Kian Kompleks

Kemunculan ZeroDayRAT menegaskan bahwa ancaman terhadap perangkat seluler terus berkembang. Dalam beberapa tahun terakhir, pelaku kejahatan siber berulang kali berhasil menembus lapisan keamanan yang diterapkan Apple dan Google.

Pada iOS, misalnya, beberapa serangan memanfaatkan fitur enterprise provisioning—yang sejatinya dibuat untuk perusahaan agar dapat memasang aplikasi internal tanpa melalui App Store. Celah ini kerap disalahgunakan untuk mendistribusikan aplikasi berbahaya.

Penjualan spyware secara komersial juga menurunkan hambatan masuk bagi pelaku kejahatan. Kini, seseorang tidak perlu menjadi peretas ahli untuk melakukan pengawasan digital. Cukup dengan membeli paket spyware, mereka sudah dapat mengendalikan perangkat korban.

Gelombang Malware Mobile Lainnya

Selain ZeroDayRAT, sejumlah kampanye malware mobile juga terungkap dalam beberapa pekan terakhir.

Ada trojan Android (RAT) yang memanfaatkan platform Hugging Face untuk meng-host file APK berbahaya. Korban diarahkan mengunduh aplikasi palsu yang meminta pembaruan, padahal sebenarnya memasang malware pencuri kredensial.

RAT Android bernama Arsink menggunakan Google Apps Script untuk mengirim data curian ke Google Drive serta memanfaatkan Firebase dan Telegram sebagai saluran komunikasi perintah.

Aplikasi “All Document Reader” yang sempat tersedia di Google Play diketahui menjadi pemasang trojan perbankan Anatsa (TeaBot). Aplikasi ini telah diunduh lebih dari 50.000 kali sebelum akhirnya dihapus.

Trojan perbankan deVixor bahkan menyasar pengguna Iran melalui situs phishing yang menyamar sebagai bisnis otomotif. Malware ini memiliki modul ransomware yang dapat mengunci perangkat dan meminta tebusan dalam bentuk kripto.

Ancaman NFC dan Tap-to-Pay

Perusahaan keamanan siber Group-IB juga melaporkan lonjakan malware Android berbasis NFC yang menyasar fitur tap-to-pay. Teknik ini dikenal sebagai Ghost Tap.

Dalam periode November 2024 hingga Agustus 2025, tercatat sedikitnya 355.000 dolar AS transaksi ilegal hanya dari satu vendor mesin EDC. Pelaku memanfaatkan malware untuk menangkap data kartu ketika korban menempelkan kartu fisik ke ponsel yang sudah terinfeksi.

Group-IB mengidentifikasi tiga vendor utama aplikasi relay NFC Android, yaitu TX-NFC, X-NFC, dan NFU Pay. Salah satunya bahkan memiliki puluhan ribu pelanggan di Telegram.

Modusnya adalah menipu korban agar memasang aplikasi NFC berbahaya dan menempelkan kartu pembayaran mereka. Data kartu kemudian dikirim ke server pelaku dan digunakan untuk bertransaksi seolah kartu asli berada di tangan mereka.

Pentingnya Kewaspadaan Pengguna

Fenomena ini menunjukkan bahwa perangkat seluler kini menjadi target utama kejahatan siber. Ponsel bukan lagi sekadar alat komunikasi, tetapi pusat data pribadi, finansial, dan aktivitas digital pengguna.

Agar terhindar dari risiko, pengguna disarankan untuk:

• Mengunduh aplikasi hanya dari toko resmi
• Tidak mengklik tautan mencurigakan
• Memeriksa izin aplikasi sebelum menyetujui
• Mengaktifkan pembaruan sistem dan keamanan
• Menggunakan aplikasi keamanan mobile terpercaya

Kesadaran dan kehati-hatian menjadi benteng pertama dalam menghadapi ancaman ini. Tanpa langkah pencegahan yang tepat, ponsel pintar bisa berubah menjadi alat pengawasan dan pencurian data yang sepenuhnya dikendalikan oleh pihak tak bertanggung jawab.

Kemunculan ZeroDayRAT dan berbagai kampanye malware lainnya menjadi pengingat bahwa keamanan digital adalah tanggung jawab bersama—baik penyedia platform, pengembang aplikasi, maupun pengguna. Di era konektivitas tanpa batas, satu klik ceroboh bisa membuka pintu bagi ancaman yang tak terlihat.