Ancaman siber di ekosistem Android kembali berkembang dengan cara yang semakin canggih. Kali ini, penyerang tidak lagi hanya mengandalkan situs mencurigakan atau aplikasi abal-abal yang mudah terdeteksi. Sebuah kampanye malware Android terbaru terungkap memanfaatkan rekayasa sosial (social engineering) yang dipadukan dengan platform machine learning populer, Hugging Face, untuk menyebarkan malware berbahaya ke perangkat pengguna.
Baca Juga : Main Game Android di PC/Laptop Tanpa Emulator? Bisa Banget!
Pendekatan ini terbilang licik karena menggunakan layanan yang selama ini dikenal aman dan dipercaya oleh developer maupun peneliti di seluruh dunia. Akibatnya, banyak pengguna Android yang tidak menyadari bahwa perangkat mereka sedang menjadi target serangan serius.
Peringatan Palsu yang Terlihat Meyakinkan
Serangan ini biasanya dimulai dengan munculnya peringatan keamanan palsu di layar ponsel korban. Pesan tersebut mengklaim bahwa perangkat telah terinfeksi virus atau malware berbahaya dan membutuhkan perlindungan segera. Dalam kondisi panik, pengguna diarahkan untuk mengunduh aplikasi keamanan palsu bernama TrustBastion.
Di tahap awal, aplikasi ini terlihat tidak berbahaya. Bahkan, tampilannya dibuat menyerupai aplikasi keamanan resmi agar korban merasa aman. Namun, di balik tampilan yang meyakinkan tersebut, TrustBastion sebenarnya hanyalah pintu masuk menuju rangkaian infeksi malware yang jauh lebih kompleks.
Begitu aplikasi terpasang, TrustBastion menjadi titik awal bagi penyerang untuk mengambil alih perangkat Android korban secara perlahan namun pasti.
Hugging Face Disalahgunakan untuk Distribusi Malware
.webp "Hugging Face")
Yang membuat kampanye ini semakin berbahaya adalah cara penyerang memanfaatkan Hugging Face, sebuah platform populer untuk berbagi model machine learning dan dataset. Alih-alih menggunakan domain mencurigakan yang mudah diblokir oleh sistem keamanan, penyerang memilih layanan terpercaya ini sebagai tempat penyimpanan dan distribusi payload berbahaya mereka.
Strategi ini cukup efektif. Karena Hugging Face dikenal sebagai platform legal dan banyak digunakan oleh komunitas teknologi, lalu lintas data dari layanan ini cenderung tidak dicurigai oleh sistem keamanan maupun aplikasi antivirus. Akibatnya, malware dapat lolos dari proses deteksi awal.
Meskipun Hugging Face mengklaim bahwa semua unggahan telah melalui proses pemindaian keamanan, kasus ini menunjukkan adanya celah yang masih bisa dimanfaatkan oleh pihak tidak bertanggung jawab.
Mekanisme Dua Tahap yang Sulit Dideteksi
.webp "Mekanisme Dua Tahap yang Sulit Dideteksi")
Setelah TrustBastion terinstal, pengguna akan menerima notifikasi pembaruan palsu. Tampilan notifikasi ini dibuat sangat mirip dengan dialog resmi Google Play Store atau sistem Android, sehingga sulit dibedakan oleh pengguna awam.
Menurut temuan peneliti keamanan dari Bitdefender, saat pengguna menekan tombol pembaruan, aplikasi akan terhubung ke sebuah server yang kemudian mengarahkan mereka ke repositori Hugging Face. Di sanalah aplikasi Android berbahaya sebenarnya diunduh dan dipasang.
Metode pengiriman dua tahap ini sengaja dirancang untuk menghindari deteksi dini. Dengan memisahkan aplikasi umpan (TrustBastion) dan payload utama, tingkat keberhasilan infeksi menjadi jauh lebih tinggi.
Cara Malware Mengambil Alih dan Mencuri Data Pengguna
.webp "Cara Malware Mengambil Alih dan Mencuri Data Pengguna")
Setelah payload berbahaya berhasil terpasang, malware akan mulai meminta berbagai izin penting dengan dalih fitur keamanan ponsel. Izin yang paling krusial adalah Accessibility Services.
Jika izin ini diberikan, malware mendapatkan akses luas terhadap aktivitas pengguna, termasuk:
-
Memantau semua interaksi di layar
-
Mengambil tangkapan layar secara diam-diam
-
Merekam layar perangkat
-
Menampilkan halaman login palsu
Melalui teknik ini, penyerang dapat mencuri kredensial keuangan, khususnya dari layanan populer seperti Alipay dan WeChat. Tidak hanya itu, malware juga mampu merekam informasi layar kunci dan data sensitif lainnya.
Koneksi Permanen ke Server Penyerang
Malware Android RAT ini menjaga komunikasi aktif dengan server perintah dan kontrol (C2 server) menggunakan koneksi persisten. Artinya, setiap data yang dicuri bisa langsung dikirim ke penyerang secara real-time, dan perintah baru dapat diterima kapan saja.
Yang lebih mengkhawatirkan, peneliti menemukan bahwa penyerang secara rutin menghasilkan versi baru malware ini setiap sekitar 15 menit melalui teknik polimorfisme sisi server. Selama periode 29 hari, repositori asli mencatat lebih dari 6.000 commit.
Setiap versi baru memiliki sedikit variasi kode, tetapi fungsinya tetap sama. Teknik ini sengaja digunakan untuk menghindari sistem keamanan yang mengandalkan deteksi berbasis hash file.
Berganti Nama, Tapi Modus Tetap Sama
Ketika repositori TrustBastion menghilang pada Desember 2025, kampanye ini tidak berhenti. Penyerang dengan cepat meluncurkan ulang malware yang sama menggunakan nama aplikasi baru, Premium Club.
Meski namanya berbeda, kode dasar dan perilaku jahatnya tetap identik. Pergantian identitas ini dilakukan untuk menghindari deteksi jangka panjang dan memperpanjang usia kampanye serangan.
Baca Juga : Peringatan! Albiriox Malware Baru Bisa Kendalikan Android Kamu Secara Penuh
Kesimpulan
Kasus ini menjadi pengingat bahwa ancaman siber kini semakin cerdas dan memanfaatkan kepercayaan pengguna terhadap platform populer. Peringatan keamanan yang muncul tiba-tiba, terutama yang meminta instalasi aplikasi di luar Google Play Store, patut dicurigai.
Sebagai pengguna Android, selalu pastikan:
-
Mengunduh aplikasi hanya dari sumber resmi
-
Tidak sembarangan memberikan izin Accessibility
-
Menggunakan aplikasi keamanan terpercaya
-
Selalu memperbarui sistem operasi
Dengan kewaspadaan yang tepat, risiko menjadi korban malware seperti Android RAT ini bisa ditekan semaksimal mungkin.
