Gambaran Umum DroidBot
DroidBot adalah Remote Access Trojan (RAT) Android yang dijual sebagai layanan berlangganan — model bisnis yang dikenal sebagai Malware-as-a-Service (MaaS). Dengan biaya sekitar $3.000 per bulan, pelanggan mendapatkan akses ke panel kontrol untuk mengelola perangkat yang terinfeksi dan mengekstraksi data perbankan secara terorganisir.
Lebih dari 77 institusi perbankan dan bursa kripto global telah menjadi target operasi DroidBot yang terdokumentasi, menjadikannya salah satu ancaman mobile banking paling signifikan yang dianalisis sepanjang 2024.
Dua Teknik Utama: VNC Tersembunyi dan Overlay Attack
Hidden VNC
DroidBot mengimplementasikan Virtual Network Computing (VNC) yang tersembunyi, memungkinkan operator melihat dan mengontrol layar perangkat korban secara real-time tanpa sepengetahuan pengguna. Ini berarti operator dapat:
- Mengamati seluruh interaksi pengguna dengan aplikasi perbankan secara langsung
- Mengeksekusi transaksi secara mandiri ketika pengguna tidak aktif
- Mengambil alih sesi yang sudah terautentikasi tanpa perlu mencuri kredensial terlebih dahulu
Overlay Attack
Teknik overlay bekerja dengan menampilkan antarmuka palsu di atas aplikasi perbankan yang sah. Ketika pengguna membuka aplikasi bank resmi, DroidBot mendeteksinya dan menampilkan layar login palsu yang secara visual identik dengan tampilan asli. Kredensial yang dimasukkan pengguna langsung dikirim ke server C2, sementara aplikasi asli tetap berjalan di latar belakang.
Kombinasi VNC tersembunyi dan overlay attack menciptakan jalur pencurian yang menyeluruh: overlay mencuri kredensial akun, VNC memungkinkan akses langsung ke sesi yang sudah terautentikasi.
Infrastruktur Komunikasi Ganda
DroidBot menggunakan dua saluran komunikasi secara bersamaan:
- MQTT (Message Queuing Telemetry Transport): untuk menerima perintah dari operator. Protokol ini biasanya digunakan perangkat IoT, sehingga lalu lintas MQTT dari perangkat mobile sering tidak dikenali atau tidak difilter oleh sistem monitoring jaringan korporat.
- HTTPS: untuk mengirimkan data hasil pencurian ke server C2.
Pemilihan MQTT sebagai saluran perintah adalah keputusan teknis yang disengaja untuk menghindari deteksi berbasis pola lalu lintas web yang umumnya hanya memeriksa HTTP/HTTPS.
Model MaaS dan Implikasinya bagi Lanskap Ancaman
Model MaaS menurunkan hambatan masuk secara signifikan. Pelaku kejahatan tidak perlu memiliki kemampuan pengembangan malware — cukup berlangganan dan menargetkan korban. Konsekuensinya:
- Volume serangan lebih tinggi dari pelaku dengan kemampuan teknis minimal
- Target lebih beragam karena setiap operator berlangganan dapat memilih fokus serangan yang berbeda
- Evolusi kemampuan lebih cepat karena developer malware memperbarui fitur berdasarkan kebutuhan “pelanggan”
Bagi tim keamanan, ini berarti ancaman tidak hanya berasal dari kelompok dengan sumber daya besar — volume serangan akan terus meningkat dari banyak pelaku kecil yang menyewa infrastruktur yang sama.
Rekomendasi Kontrol
Untuk Tim Pengembang Aplikasi Mobile
Deteksi lingkungan yang mencurigakan: Periksa apakah Accessibility Service aktif tanpa alasan yang sah. DroidBot bergantung pada izin Accessibility untuk melakukan overlay dan memantau interaksi pengguna. Aplikasi perbankan yang mendeteksi kondisi ini dapat memunculkan peringatan atau memblokir akses sementara.
Perlindungan sesi:
- Terapkan certificate pinning untuk mencegah intersepsi lalu lintas melalui proxy di perangkat yang terkompromi
- Gunakan session binding yang mengikat sesi ke properti perangkat — deteksi anomali ketika properti berubah di tengah sesi
- Implementasikan root/jailbreak detection sebagai lapisan tambahan
Deteksi overlay: Manfaatkan API Android yang tersedia untuk mendeteksi apakah ada window asing yang berjalan di atas aplikasi Anda. Respons yang tepat ketika overlay terdeteksi perlu didefinisikan dalam kebijakan keamanan aplikasi.
Untuk Tim Fraud dan Monitoring
Sinyal anomali yang perlu dipantau:
- Waktu transaksi tidak lazim atau pola pengetikan yang tidak konsisten dengan profil historis pengguna
- Perubahan mendadak device fingerprint dalam sesi yang sama
- Navigasi terlalu cepat atau urutan akses halaman yang tidak mengikuti pola pengguna normal
- Ketidakcocokan geolokasi IP dengan riwayat akses pengguna
Untuk Edukasi Pengguna
Edukasi yang efektif harus spesifik dan dapat diverifikasi, bukan hanya imbauan umum:
- Sampaikan bahwa bank tidak pernah meminta pengguna menginstal aplikasi tambahan melalui SMS atau email
- Ajarkan cara memeriksa daftar aplikasi dengan izin Accessibility Service aktif di pengaturan perangkat
- Sediakan saluran yang mudah diakses untuk melaporkan tampilan aplikasi yang terasa berbeda dari biasanya
Poin Kunci
DroidBot menunjukkan bahwa ancaman mobile banking tidak lagi terbatas pada teknik phishing sederhana berbasis link. Kombinasi akses jarak jauh real-time dan overlay yang secara visual realistis menciptakan vektor serangan yang sangat sulit dideteksi dengan kontrol di satu layer saja.
Keamanan mobile banking yang efektif membutuhkan pertahanan yang mencakup hardening aplikasi, monitoring perilaku transaksi secara kontekstual, dan kesiapan respons insiden yang tidak bergantung pada asumsi bahwa endpoint pengguna selalu bersih.