Selama bertahun-tahun, pengguna aplikasi pesan instan seperti WhatsApp, Signal, dan Telegram merasa aman berkat perlindungan enkripsi end-to-end (E2EE). Teknologi ini menjamin bahwa pesan hanya bisa dibaca oleh pengirim dan penerima, bahkan penyedia aplikasi pun tidak bisa mengintipnya. Namun, rasa aman tersebut kini terancam runtuh dengan munculnya varian malware Android baru yang diberi nama "Sturnus".

Ditemukan pertama kali oleh peneliti dari MTI Security dan dikonfirmasi analisisnya oleh tim Threat Fabric, Sturnus bukanlah virus biasa. Ini adalah Banking Trojan canggih yang memiliki kemampuan spesifik untuk memunggungi (bypass) protokol enkripsi dengan cara yang paling primitif namun efektif: membaca apa yang sedang ditampilkan di layar korban. Kehadiran Sturnus menjadi peringatan keras bahwa keamanan enkripsi tidak berarti apa-apa jika perangkat itu sendiri telah dikompromikan.

Sturnus diklasifikasikan sebagai trojan yang dioperasikan secara pribadi (privately operated), yang mengindikasikan bahwa malware ini mungkin belum dijual massal di pasar gelap, melainkan digunakan untuk serangan yang lebih tertarget.

Baca Juga: Evolusi Ransomware di Indonesia dan Dominasi Grup "The Gentlemen"

Mekanisme "Screen Scraping": Kekuatan utama Sturnus terletak pada kemampuannya menerobos privasi aplikasi pesan. Ia tidak mencoba memecahkan kode matematika enkripsi yang rumit. Sebaliknya, ia menunggu hingga aplikasi (seperti WhatsApp) mendekripsi pesan tersebut untuk ditampilkan kepada pengguna.

• Aksesibilitas yang Disalahgunakan: Kemungkinan besar, Sturnus menyalahgunakan fitur Android Accessibility Services. Dengan izin ini, malware dapat "melihat" elemen antarmuka pengguna (UI) dan teks yang muncul di layar.
• Streaming Real-Time: Threat Fabric melaporkan bahwa Sturnus dapat melakukan streaming layar korban secara real-time ke server penyerang (C2). Artinya, peretas dapat menonton korban mengetik pesan, membaca balasan rahasia, dan melihat foto yang dikirimkan, seolah-olah mereka berdiri tepat di belakang bahu korban.

Selain memata-matai pesan, tujuan utama Sturnus tetaplah motif finansial. Fitur-fitur yang dimilikinya dirancang untuk pengambilalihan perangkat secara penuh (Full Device Takeover - DTO).

1. Serangan Overlay: Sturnus dapat memunculkan layar login palsu di atas aplikasi perbankan yang sah. Ketika korban memasukkan username dan password, data tersebut langsung dikirim ke peretas.
2. Keylogging Ekstensif: Malware ini mencatat setiap ketukan jari di layar, memungkinkan pencurian PIN ATM, password media sosial, hingga frase pemulihan dompet kripto.
3. Layar Gelap (Black Screen Attack): Salah satu fitur paling berbahaya adalah kemampuannya untuk menggelapkan atau mematikan layar korban saat peretas sedang melakukan transaksi curang di latar belakang. Korban akan mengira ponselnya mati atau hang, padahal uang mereka sedang dikuras habis.
4. Eskalasi Hak Akses: Sturnus juga berupaya mendapatkan hak Administrator Perangkat, membuatnya sangat sulit untuk dihapus (uninstal) oleh pengguna awam.

Saat ini, Sturnus diperkirakan masih dalam tahap awal pengembangan (early development stage). Distribusinya belum masif, namun potensinya sangat merusak. Jika para pengembang Sturnus memutuskan untuk menyewakannya sebagai layanan (MaaS - Malware as a Service) atau menemukan metode distribusi massal (misalnya lewat aplikasi palsu yang terlihat sah), jutaan perangkat Android di seluruh dunia berisiko mengalami kebocoran data paling intim.

"Sturnus merupakan ancaman yang canggih dan komprehensif... memberi penyerang kendali hampir penuh atas perangkat yang terinfeksi," tulis laporan Threat Fabric.

Menghadapi malware yang mampu mengambil alih perangkat, antivirus standar kadang tidak cukup jika pengguna sendiri yang memberikan izin akses.

1. Hanya Google Play Store: Hindari mengunduh aplikasi dari situs pihak ketiga (sideloading). Meskipun Play Store tidak 100% kebal, filter keamanannya jauh lebih ketat dibanding situs APK tidak resmi.
2. Periksa Izin Aksesibilitas: Berhati-hatilah terhadap aplikasi baru (seperti pembersih sampah, PDF reader, atau pemutar video) yang meminta izin Accessibility Services. Ini adalah izin paling berbahaya yang sering disalahgunakan trojan perbankan.
3. Tinjau Ulasan: Sebelum menginstal aplikasi baru, baca ulasan pengguna. Lonjakan ulasan negatif atau pola ulasan palsu bisa menjadi indikator aplikasi berbahaya.