Sebuah ancaman siber baru bernama Rokarolla telah terdeteksi mengincar para pengguna Android, secara khusus membidik 217 aplikasi perbankan dan aset kripto. Malware jenis trojan ini beroperasi dengan menyamar sebagai aplikasi populer seperti TikTok atau Google Chrome, lalu secara diam-diam mengambil alih kendali penuh perangkat korban untuk mencuri data sensitif. Temuan ini diungkap oleh peneliti keamanan siber dari Zimperium zLabs, yang mengidentifikasi modus operandi berbahaya yang dapat merugikan pengguna secara finansial dan privasi.
Rokarolla, yang namanya diambil dari infrastruktur komando dan kontrol (C2) yang digunakan oleh pelaku, pertama kali dideteksi menyebar melalui situs web berbahaya. Situs-situs ini dirancang untuk menipu pengguna agar mengunduh aplikasi palsu yang terlihat identik dengan aplikasi aslinya. Setelah terunduh, aplikasi berbahaya ini akan memasang muatan (payload) tahap kedua yang berisi inti dari malware itu sendiri.
Salah satu taktik paling licik yang digunakan Rokarolla adalah menipu pengguna agar memberikan izin akses Layanan Aksesibilitas (Accessibility Services) pada perangkat Android mereka. Malware ini akan menampilkan antarmuka yang menyerupai proses verifikasi dari Google Play Protect. Ketika pengguna mengira sedang melakukan pembaruan keamanan atau verifikasi, mereka sebenarnya memberikan izin kepada Rokarolla untuk memantau dan mengontrol perangkat mereka.
Dengan izin aksesibilitas, Rokarolla mendapatkan kemampuan luar biasa untuk membaca seluruh isi layar perangkat, meniru interaksi pengguna, bahkan mengeksekusi serangkaian perintah secara otomatis. Malware ini dibekali dengan 137 perintah yang memungkinkan penyerang memiliki kontrol hampir penuh atas perangkat yang terinfeksi. Kemampuan ini membuka pintu bagi berbagai tindakan kriminal, mulai dari pencurian data hingga pengambilalihan akun.
Salah satu fungsi paling berbahaya dari Rokarolla adalah kemampuannya mencuri kredensial kunci layar. Malware ini akan menampilkan layar kunci palsu yang identik dengan tampilan asli perangkat Android. Ketika korban memasukkan PIN, pola, atau kata sandi mereka, data tersebut langsung dikirimkan ke server penyerang. Informasi ini memungkinkan pelaku untuk mengakses perangkat korban bahkan saat dalam keadaan terkunci, membuka jalan untuk eksploitasi lebih lanjut.
Modus operandi Rokarolla tidak berhenti di situ. Setelah berhasil menguasai perangkat, malware ini secara aktif mematikan fitur keamanan bawaan Android, yaitu Google Play Protect. Dengan menonaktifkan lapisan pertahanan ini, Rokarolla memastikan operasinya berjalan tanpa hambatan. Selain itu, malware ini juga mencegah layar perangkat terkunci secara otomatis. Tujuannya adalah agar proses penipuan yang berjalan di latar belakang tidak terganggu oleh penguncian layar, memberikan waktu lebih bagi pelaku untuk melakukan aksinya.
Untuk memastikan kelangsungan operasinya dan menghindari deteksi, Rokarolla menggunakan berbagai domain cadangan. Kemampuannya untuk memperbarui server C2 aktifnya secara dinamis melalui perintah jarak jauh juga mempersulit upaya penanggulangan. Ini berarti bahwa jika satu server terdeteksi dan diblokir, malware dapat dengan cepat beralih ke server lain, membuatnya tetap aktif dan berbahaya.
Pakar keamanan siber menekankan pentingnya kewaspadaan pengguna dalam mengunduh aplikasi. Mengunduh aplikasi hanya dari sumber resmi seperti Google Play Store dan selalu membaca ulasan serta memeriksa izin yang diminta oleh aplikasi dapat menjadi langkah pencegahan yang efektif. Selain itu, menjaga perangkat lunak Android tetap terbarui juga krusial, karena pembaruan sering kali mencakup perbaikan keamanan untuk melindungi dari ancaman seperti Rokarolla.
Meskipun belum ada laporan resmi mengenai jumlah kerugian finansial yang ditimbulkan oleh Rokarolla, potensi dampaknya sangat besar mengingat targetnya adalah aplikasi perbankan dan aset kripto. Pengguna disarankan untuk segera memeriksa perangkat mereka jika merasa telah mengunduh aplikasi dari sumber yang mencurigakan atau jika melihat aktivitas aneh pada ponsel mereka. Menghapus aplikasi yang tidak dikenal dan mengganti kata sandi akun penting, terutama perbankan dan keuangan, adalah langkah mitigasi yang bijak.
Kasus Rokarolla kembali mengingatkan bahwa ancaman siber terus berkembang dan semakin canggih. Penjahat siber terus mencari celah baru untuk mengeksploitasi kerentanan pengguna dan sistem. Oleh karena itu, edukasi keamanan siber yang berkelanjutan dan praktik penggunaan perangkat digital yang aman menjadi semakin penting bagi seluruh lapisan masyarakat. Dengan semakin banyaknya pengguna yang bergantung pada ponsel pintar untuk berbagai aktivitas, termasuk transaksi keuangan, perlindungan terhadap malware seperti Rokarolla menjadi prioritas utama.
Peneliti keamanan siber terus bekerja untuk menganalisis lebih dalam mengenai cara kerja Rokarolla dan mencari solusi untuk menghapus ancaman ini dari ekosistem Android. Upaya kolaboratif antara pengembang aplikasi keamanan, perusahaan teknologi, dan pengguna sangat dibutuhkan untuk memerangi penyebaran malware semacam ini dan menjaga keamanan data pribadi serta finansial. Pengguna diharapkan untuk selalu berhati-hati dan tidak mudah percaya pada tawaran atau aplikasi yang terlihat mencurigakan, serta selalu mengutamakan keamanan digital.
