Malware “Perseus” Intai Catatan Pribadi Pengguna Android, Sasar Password hingga Frasa Kripto

JAKARTA - Ancaman baru kembali menghantui ekosistem Android. Malware bernama Perseus dilaporkan mampu menyusup ke perangkat dan secara aktif memindai aplikasi catatan pribadi untuk mencuri data sensitif, mulai dari kata sandi hingga frasa pemulihan kripto.

Dalam laporan terbaru dari perusahaan keamanan siber ThreatFabric, Perseus disebut sebagai jenis trojan yang menyamar sebagai aplikasi streaming populer. Malware ini tidak beredar melalui Google Play Store, melainkan disebarkan lewat toko aplikasi tidak resmi dan file APK pihak ketiga.

Pelaku memanfaatkan kebiasaan pengguna yang mengunduh aplikasi ilegal, terutama layanan IPTV untuk menonton siaran olahraga bajakan. Di balik tampilan aplikasi tersebut, terselip payload berbahaya yang mulai bekerja begitu aplikasi terpasang di perangkat.

Berbeda dari trojan perbankan konvensional yang umumnya mencuri kode OTP atau merekam ketikan, Perseus mengadopsi pendekatan yang lebih invasif. Malware ini memanfaatkan fitur Accessibility Services untuk membuka dan menelusuri aplikasi catatan pengguna secara sistematis.

Targetnya bukan sembarang aplikasi. Perseus secara spesifik membidik layanan populer seperti Google Keep, Samsung Notes, Evernote, serta Microsoft OneNote. Selain itu, aplikasi seperti Xiaomi Notes, ColorNote, hingga Simple Notes juga masuk dalam daftar incaran.

Dari aplikasi tersebut, malware akan membaca isi teks untuk mencari informasi krusial, termasuk password akun, detail perbankan, hingga recovery phrase dompet kripto—data yang sering disimpan pengguna dalam catatan pribadi demi kemudahan akses.

Peneliti menyebut, ini menjadi salah satu kasus pertama di mana malware Android secara khusus dirancang untuk mengekstrak data dari catatan yang dikurasi sendiri oleh pengguna, bukan hanya data yang lewat di sistem.

Sebelum menjalankan aksinya, Perseus juga melakukan serangkaian pengecekan terhadap perangkat, termasuk kondisi hardware, status baterai, dan jumlah aplikasi yang terpasang. Langkah ini diduga untuk menghindari deteksi serta memastikan target cukup “layak” untuk dieksploitasi.

Saat ini, kampanye serangan Perseus teridentifikasi menyasar pengguna di Turki dan Italia, dengan fokus pada puluhan institusi keuangan lokal serta layanan kripto. Namun, pola distribusinya yang mengandalkan sideloading membuat potensi penyebaran global tetap terbuka.

Para ahli keamanan mengingatkan bahwa praktik mengunduh aplikasi di luar toko resmi menjadi celah utama masuknya ancaman ini. Pengguna disarankan untuk tetap menggunakan sumber resmi seperti Google Play Store serta menghindari pemasangan file APK dari sumber tidak terpercaya.