Skip to content
[ root@retasan:~# Tuesday, Jul 14, 2026 ]

> Retasan_

// Portal Berita Keamanan Siber Terkini

  • Kebijakan & Privasi
  • Kontak Retasan.id
  • Tentang Retasan.
Malware Exploit Development Kebijakan Keamanan Cyberwarfare Tools Data Breach Iklan
Malware

Glitch SPY: Android RAT Baru dengan 70+ Command yang Didistribusikan melalui Aplikasi Sewa Palsu Polandia

// by retasan-news July 14, 2026 7 min read

Para peneliti keamanan siber dari Cyble baru-baru ini mengungkap sebuah Android Remote Access Trojan (RAT) baru bernama Glitch SPY yang memiliki lebih dari 70 command berbeda dan didistribusikan melalui situs web aplikasi sewa properti palsu di Polandia. Malware ini pertama kali terdeteksi didistribusikan melalui situs web tutaj-dompl[.]com yang meniru layanan pencarian properti sewa di Polandia. Korban yang mengunduh aplikasi dari situs tersebut akan menginstal apa yang tampaknya adalah aplikasi pencarian properti, namun di balik antarmuka yang tampak legitimate, Glitch SPY bersembunyi dengan kemampuan spionase dan remote control yang sangat luas dan berbahaya.

Yang membuat Glitch SPY sangat menarik dari sudut pandang teknis adalah penggunaan Brokewell Android Loader sebagai mekanisme dropper. Brokewell sendiri adalah sebuah loader yang sudah dikenal dalam ekosistem malware Android sebagai tool distribusi yang sangat efektif. Loader ini berfungsi sebagai tahap awal infeksi yang bertanggung jawab untuk mengunduh dan mengeksekusi payload utama Glitch SPY. Dengan menggunakan loader yang sudah terbukti, operator Glitch SPY dapat fokus pada pengembangan fitur RAT tanpa harus membangun infrastruktur distribusi dari nol. Pendekatan modular ini juga mempersulit deteksi karena masing-masing komponen bisa diganti secara terpisah jika salah satu sudah diblokir oleh solusi keamanan.

Kemampuan live screen streaming menjadi salah satu fitur Glitch SPY yang paling mengkhawatirkan. Berbeda dengan screenshot konvensional yang hanya menangkap gambar statis dari layar, live screen streaming memungkinkan penyerang untuk memantau aktivitas layar korban secara real-time. Dalam praktiknya, ini berarti penyerang bisa menyaksikan korban sedang melakukan transaksi perbankan online, memasukkan data kartu kredit, atau berkomunikasi melalui aplikasi pesan terenkripsi. Kemampuan remote control yang menyertainya memungkinkan penyerang untuk mengontrol perangkat korban secara langsung dari jarak jauh, menjadikan Glitch SPY sebagai extension fisik dari penyerang itu sendiri.

Suite pencurian data Glitch SPY mencakup pencurian SMS, kontak, log panggilan, dan lokasi GPS dengan presisi tinggi. Pencurian SMS sangat kritis dalam konteks keamanan mobile karena banyak layanan perbankan dan fintech yang menggunakan One-Time Password (OTP) melalui SMS sebagai mekanisme autentikasi kedua. Dengan akses ke SMS korban, penyerang bisa mencegat OTP dan melakukan unauthorized transactions. Pencurian kontak memberikan daftar target untuk distribusi malware lanjutan, sementara log panggilan dan lokasi GPS membangun profil lengkap tentang aktivitas dan pergerakan korban. Kombinasi semua data ini memungkinkan penyerang untuk melakukan social engineering tingkat lanjut atau physical surveillance berbasis data digital.

Surveillance kamera dan mikrofon menjadikan Glitch SPY bukan sekadar malware pencuri data, melainkan perangkat spionase penuh. Dengan mengaktifkan kamera depan atau belakang perangkat secara remote tanpa sepengetahuan korban, penyerang bisa melakukan pengawasan visual terhadap lingkungan korban. Fitur keylogging menambah dimensi lain dalam pengumpulan data dengan merekam setiap keystroke yang dilakukan korban, termasuk password, pesan chat, dan data sensitif lainnya yang diketikkan di perangkat. Kombinasi surveillance kamera, mikrofon, dan keylogging memberikan penyerang akses terhadap hampir setiap aspek kehidupan digital dan fisik korban yang terinfeksi.

Fitur file management dan shell execution memungkinkan penyerang untuk menjelajahi dan memanipulasi sistem file perangkat target serta menjalankan command shell secara remote. File management memungkinkan upload, download, delete, dan rename file di perangkat korban, yang bisa digunakan untuk mengumpulkan dokumen sensitif, menanam bukti palsu, atau memodifikasi konfigurasi sistem. Shell execution adalah fitur yang paling berbahaya dari sudut pandang keamanan karena memberikan penyerang kemampuan untuk menjalankan command sistem operasi Android secara langsung. Dengan akses shell, penyerang bisa menginstal additional payload, memodifikasi permission, atau bahkan melakukan lateral movement ke perangkat lain di jaringan yang sama.

Yang paling inovatif dan berbahaya dari Glitch SPY adalah fitur crypto-clipper yang mampu mendeteksi dan mengganti alamat wallet cryptocurrency saat korban melakukan transaksi. Crypto-clipper ini mendukung berbagai format alamat termasuk ETH/EVM, TRON, Bitcoin legacy, dan Bech32 — mencakup sebagian besar ekosistem cryptocurrency yang beredar saat ini. Cara kerjanya sangat sederhana namun efektif: ketika korban menyalin alamat wallet tujuan untuk melakukan transfer, crypto-clipper secara diam-diam mengganti alamat tersebut dengan alamat milik penyerang. Korban kemudian menempelkan alamat yang sudah dimodifikasi tanpa menyadari perubahan, dan cryptocurrency yang dikirimkan akan langsung masuk ke wallet penyerang. Teknik ini sangat sulit dideteksi karena korban biasanya hanya memeriksa beberapa karakter pertama dan terakhir dari alamat wallet.

Routine enkripsi/dekripsi file menggunakan algoritma AES dengan mode GCM (Galois/Counter Mode) dan NoPadding menunjukkan standar kriptografi yang cukup tinggi dalam implementasi malware ini. AES-GCM selain menyediakan kerahasiaan data (confidentiality) juga menyediakan integritas data (authenticity) melalui Authenticated Encryption with Associated Data (AEAD). Implementasi ini memungkinkan Glitch SPY untuk mengenkripsi file-file target di perangkat korban — yang bisa digunakan untuk tujuan ransomware atau untuk melindungi data curian dari analisis forensik. Penggunaan GCM mode dan NoPadding juga menunjukkan bahwa developer Glitch SPY memiliki pemahaman kriptografi yang baik dan bukan sekadar amatir yang mengikuti tutorial online.

Fitur hidden remote-browser merupakan komponen yang sering terlewatkan namun sangat berbahaya dari Glitch SPY. Dengan kemampuan ini, penyerang bisa membuka dan mengontrol browser di perangkat korban dari jarak jauh tanpa layar menampilkan aktivitas tersebut kepada korban. Hidden browser memungkinkan penyerang untuk login ke akun-akun korban di berbagai layanan web — perbankan, email, media sosial, atau platform e-commerce — menggunakan session korban yang sudah login atau dengan meng-enter credential yang sudah dicuri. Remote-browser ini pada dasarnya mengubah perangkat korban menjadi proxy tidak terlihat yang menjalankan aktivitas web atas nama penyerang, menjadikannya salah satu mekanisme account takeover paling efektif yang pernah ditemukan di malware Android.

Builder module Glitch SPY memungkinkan operator untuk membuat custom payload sesuai kebutuhan kampanye spesifik. Dengan builder, setiap distribusi malware bisa memiliki konfigurasi C2 server, list command yang diaktifkan, level anti-detection, dan bahkan branding yang berbeda. Pendekatan modular ini menjadikan Glitch SPY sangat fleksibel untuk berbagai skenario serangan — dari targeted espionage hingga mass credential harvesting. Komunikasi C2 yang menggunakan WebSocket juga memberikan keunggulan signifikan dari sisi stealth karena traffic WebSocket terlihat seperti komunikasi web biasa dan sulit dibedakan dari legitimate WebSocket connections yang digunakan oleh banyak aplikasi modern.

Penyalahgunaan Android Accessibility Service secara agresif menjadi fondasi utama hampir semua fitur Glitch SPY. Accessibility Service yang seharusnya dirancang untuk membantu pengguna dengan disabilitas telah menjadi senjata paling sering disalahgunakan oleh malware Android modern. Dalam kasus Glitch SPY, Accessibility Service digunakan untuk overlay injection (menampilkan halaman login palsu di atas aplikasi legitimate), screen reader capture (membaca konten layar yang tidak bisa diakses oleh metode lain), serta simulated gestures dan clicks untuk mengontrol perangkat dari jarak jauh. Tanpa abuse dari Accessibility Service, banyak fitur Glitch SPY tidak akan bisa berfungsi, yang menunjukkan betapa kritisnya layanan ini sebagai attack vector di ekosistem Android.

Analisa Retasan

Glitch SPY menunjukkan evolusi yang mengkhawatirkan dalam malware Android modern — dari sekadar pencuri data menjadi platform spionase dan manipulasi keuangan yang komprehensif. Penggabungan live screen streaming, crypto-clipper multi-chain, hidden remote-browser, dan builder module dalam satu malware menunjukkan bahwa threat actor saat ini memiliki kemampuan dan sumber daya yang setara dengan perangkat lunak komersial. Dari perspektif pertahanan, organisasi di Indonesia harus memperketat kebijakan instalasi aplikasi dari sumber tidak resmi, mengaktifkan Google Play Protect, dan memberikan edukasi kepada pengguna tentang risiko aplikasi yang meminta Accessibility Service permissions.

Fitur crypto-clipper khususnya merupakan ancaman langsung bagi pengguna cryptocurrency di Indonesia yang semakin bertambah jumlahnya. Serangan crypto-clipper relatif tidak memerlukan teknik canggih dari sisi korban — cukup dengan menginstal aplikasi berbahaya satu kali, seluruh transaksi cryptocurrency korban berikutnya bisa dialihkan ke wallet penyerang tanpa peringatan. Pengguna cryptocurrency disarankan untuk selalu memverifikasi alamat wallet secara menyeluruh sebelum menekan tombol kirim, menggunakan hardware wallet untuk transaksi besar, dan menghindari penginstalan aplikasi dari luar Google Play Store.

Sumber: Cyble – Glitch SPY RAT Distributed via Fake Polish App | Tags: Glitch SPY, RAT, Brokewell, Android Malware, Crypto Clipper

Tags: Android Malware Brokewell Crypto Clipper Glitch SPY RAT
Share:

retasan-news

← Previous androidReverse: Suite Reverse Engineering Android yang Berjalan Sepenuhnya di Perangkat Mobile
Next → RedWing: Operasi Malware-as-a-Service Android yang Terhubung dengan Aktor Ancaman Rusia

Artikel Terkait

JADEPUFFER: Serangan Ransomware AI-Driven yang Memanfaatkan AI Agent untuk Otomatisasi Full Kill Chain

JADEPUFFER: Serangan Ransomware AI-Driven yang Memanfaatkan AI Agent untuk Otomatisasi Full Kill Chain

July 14, 2026
Lurking Lizard: Aplikasi VPN dan 7-Zip Palsu Jadikan Korban sebagai Residential Proxy Node

Lurking Lizard: Aplikasi VPN dan 7-Zip Palsu Jadikan Korban sebagai Residential Proxy Node

July 14, 2026
HalluSquatting: Serangan Baru Memanfaatkan Halusinasi AI Coding Assistant untuk Install Botnet Malware

HalluSquatting: Serangan Baru Memanfaatkan Halusinasi AI Coding Assistant untuk Install Botnet Malware

July 14, 2026

> leave_comment_

Your email address will not be published. Required fields are marked *

Copyright © 2026 Retasan | retasan.my.id

  • Kebijakan & Privasi
  • Kontak Retasan.id
  • Tentang Retasan.