Berbeda dari varian turunan lainnya, Herodotus bukan sekadar versi upgrade, melainkan kreasi baru dengan pendekatan yang lebih canggih dan terstruktur.
Herodotus menyebar melalui teknik Smishing, yaitu pengiriman pesan teks palsu yang menggiring korban untuk mengunduh malicious dropper dari tautan berbahaya. Setelah diinstal, malware ini berfokus pada penguasaan penuh perangkat dan menampilkan kemampuan meniru perilaku manusia, sebuah strategi untuk menghindari deteksi biometrik dan behavioral security checks.
Kampanye aktifnya telah terdeteksi di Italia dan Brasil, sementara analisis overlay template menunjukkan kemungkinan penargetan terhadap lembaga keuangan di Amerika Serikat, Turki, Inggris, Polandia, hingga layanan cryptocurrency.
Menariknya, Herodotus dipromosikan sebagai Malware-as-a-Service (MaaS) selama masa pengembangannya — indikasi bahwa ancaman ini mungkin akan berkembang lebih luas dan lebih mudah diakses oleh pelaku siber di masa depan.
⚔️ Metode Serangan: Dari Smishing hingga Pengambilalihan Total
Herodotus biasanya mencapai korbannya melalui sideloading, dimulai dari SMS palsu yang mengarahkan pengguna untuk mengunduh sebuah dropper.
Begitu dijalankan, dropper segera menembus perlindungan baru Android 13, lalu diam-diam menginstal payload tersembunyi — inti dari operasi malware ini.
Setelah payload aktif, dropper memanipulasi pengguna untuk membuka Accessibility Service settings, dan meminta mereka mengaktifkan izin tertentu.
Begitu izin diberikan, Herodotus menampilkan layar “loading” palsu, sementara di balik layar, malware mulai mengaktifkan izin kontrol yang memberinya akses penuh ke perangkat.
Tahap berikutnya adalah pengambilalihan total: Herodotus memetakan aplikasi yang terinstal, mengirimkan daftar tersebut ke command-and-control server (C2), dan menerima perintah balik berupa target serta overlay resources.
Ketika korban membuka aplikasi tertentu (misalnya aplikasi perbankan), Herodotus menampilkan overlay palsu yang menutupi tampilan asli dan menghadirkan form login tiruan untuk mencuri kredensial pengguna.
🕹️ Kontrol Jarak Jauh yang Meniru Manusia
Salah satu aspek paling menarik — sekaligus berbahaya — dari Herodotus adalah kemampuan kontrol jarak jauhnya melalui Accessibility Service.
Operator dapat mengetuk, menggulir, menavigasi, hingga mengetik teks dari jarak jauh, seolah-olah pengguna yang melakukannya sendiri.
Untuk menghindari deteksi oleh sistem behavior-based fraud detection, Herodotus bahkan memiliki fitur “delayed text mode” — mengetik huruf satu per satu dengan jeda acak agar terlihat seperti aktivitas manusia sungguhan.
Pendekatan ini membuat Herodotus menonjol dibandingkan banyak device-takeover trojan lainnya yang menggunakan input otomatis kasar dan mudah dideteksi.
Selain overlay dan kontrol jarak jauh, Herodotus juga dilengkapi kemampuan klasik trojan perbankan, seperti:
-
Intercept SMS untuk menangkap kode OTP,
-
Screen capture dan Accessibility logging,
-
Command channel via MQTT untuk komunikasi terenkripsi lintas subdomain.
Aktivitasnya telah diamati di Italia dan Brasil, sementara tangkapan layar dari forum bawah tanah menunjukkan panel operator dengan fitur kontrol input manusia yang aktif.
💡 Analisis
1. Kekuatan di Psikologi, Bukan Sekadar Eksploitasi Teknis
Herodotus menonjol karena kemampuan social engineering-nya. Ia tidak mengandalkan exploit teknis yang kompleks, melainkan membuat antarmuka dan notifikasi yang tampak meyakinkan, sehingga korban secara sukarela memberikan izin berbahaya.
Ini menunjukkan bahwa persuasi psikologis kini menjadi senjata utama, menggantikan brute-force infection yang dulu mendominasi.
2. Dampak Nyata: Kebingungan dan Trauma Digital
Serangan seperti Herodotus tidak hanya mencuri data, tetapi juga mengganggu ketenangan psikologis korban.
Proses pemulihan — dari reset akun, verifikasi transaksi, hingga pemulihan identitas digital — dapat menguras emosi dan menimbulkan rasa rentan jangka panjang.
3. Evolusi Ekosistem Kejahatan Siber
Herodotus menunjukkan bahwa dunia siber kini lebih terorganisasi dan terstruktur.
Dengan infrastruktur yang ramah pengguna dan toolkit siap pakai, bahkan aktor dengan kemampuan teknis terbatas pun bisa meluncurkan kampanye penipuan berskala besar.
Cybercrime kini lebih menyerupai bisnis terencana, bukan lagi aktivitas individual.
🌍 Potensi Ekspansi Global
Dari perspektif, Herodotus diperkirakan akan meluas ke lebih banyak wilayah dan segmen pengguna.
Sebagai Malware-as-a-Service, malware ini kemungkinan akan semakin mudah diakses, terutama di pasar yang sedang tumbuh pesat dalam mobile banking dan digital payment.
Kombinasi antara interaksi mirip manusia dan kontrol jarak jauh membuka peluang bagi operasi penipuan yang lebih luas, menargetkan individu maupun ekosistem digital lintas wilayah.
Dalam jangka panjang, Herodotus bisa menjadi tolok ukur baru untuk tingkat kecanggihan malware Android masa depan.
🛡️ Rekomendasi
-
Terapkan Kebijakan Mobile Device Management (MDM)
Untuk meningkatkan keamanan data perusahaan dengan memonitor, mengelola, dan mengamankan perangkat mobile yang digunakan dalam lingkungan kerja. -
Lakukan Inventarisasi Software Aktif
Pastikan seluruh aplikasi dan perangkat kerja diverifikasi secara rutin untuk mendeteksi software tidak sah atau berisiko tinggi. -
Perkuat IDS/IPS dan Sistem Pertahanan Jaringan
Konfigurasikan sistem agar memberikan alert terhadap koneksi mencurigakan dan pertimbangkan memblokir domain/IP yang dikaitkan dengan aktivitas Herodotus.
🔐 Kesimpulan
Herodotus menandai era baru ancaman Android: lebih pintar, lebih meyakinkan, dan lebih manusiawi.
Dengan kemampuan meniru perilaku pengguna dan taktik social engineering yang halus, malware ini memperlihatkan bagaimana serangan siber masa kini bukan hanya soal kode berbahaya — tapi juga tentang memahami dan mengeksploitasi perilaku manusia.
No comments:
Post a Comment