Waspada Malware PixPirate, Ancam Kuras Rekening Pengguna Secara Tersembunyi di HP

Aplikasi pertama dikenal sebagai 'pengunduh' yang didistribusikan melalui APK (Android Package Files) yang disebar melalui pesan phishing, seperti WhatsApp atau SMS.

Aplikasi pengunduh ini meminta akses ke izin berisiko pada saat instalasi, termasuk Layanan Aksesibilitas, dan kemudian mengunduh serta menginstal aplikasi kedua bernama 'droppee', yang merupakan malware perbankan PixPirate terenkripsi.

Baca Juga: Panduan Lengkap Cara Download Video Instagram Reels Tanpa Aplikasi untuk Semua Jenis HP!

Cara Kerja Malware PixPirate

Ilustrasi malware. (Freepik/rawpixel)

Aplikasi 'droppee' tidak mencantumkan aktivitas utama dengan "android.intent.action.MAIN" dan "android.intent.category.LAUNCHER" dalam manifesnya, sehingga tidak ada ikon yang terlihat di layar beranda.

Sebaliknya, aplikasi ini menyediakan layanan yang bisa diakses oleh aplikasi lain. Ketika pengunduh ingin mengaktifkan droppee, ia membuat dan menghubungkan layanan droppee ini menggunakan API BindService dengan flag "BIND_AUTO_CREATE", yang kemudian membuat dan menjalankan layanan droppee tersebut.

Baca Juga: Mengenal Quiet Mode Instagram, Mulai Fungsi Hingga Cara Mengaktifkannya

Bahkan setelah korban menghapus aplikasi pengunduh dari perangkat, PixPirate dapat terus diluncurkan berdasarkan peristiwa perangkat yang berbeda, seperti booting perangkat atau perubahan konektivitas.

Ini memungkinkan malware beroperasi di background tanpa sepengetahuan pengguna, menjadikannya sangat sulit untuk dideteksi dan dihapus sepenuhnya.

Baca Juga: Perusahaan Fujitsu Jepang Alami Serangan Siber Besar: Sistem Terinfeksi Malware Hingga Data Pelanggan Dicuri

Target Utama dan Dampak Malware 

Ancaman Malware Android Terbaru Mengintai Pengguna di Beberapa Negara

Malware ini menargetkan platform pembayaran instan Pix di Brasil, yang sangat populer dengan lebih dari 140 juta pengguna. PixPirate mencoba mengalihkan dana ke penyerang dengan mencegat atau memulai transaksi penipuan.

Kemampuan Remote Access Trojan (RAT) PixPirate memungkinkan otomatisasi seluruh proses penipuan, mulai dari menangkap kredensial pengguna dan kode otentikasi dua faktor hingga melakukan transfer uang Pix tanpa izin. Semua ini terjadi di background, tanpa sepengetahuan pengguna.

Menurut laporan, transaksi dengan Pix melebihi US$250 miliar per Maret 2023, menjadikannya target yang sangat menggiurkan bagi para penyerang. Izin Layanan Aksesibilitas yang diperlukan untuk ini menambah lapisan kompleksitas, membuat malware ini semakin sulit untuk dilacak dan dihentikan.