Ancaman terhadap data keuangan di era digital tidak lagi terbatas pada pencurian PIN atau password semata — kini informasi biometrik Anda sama berharganya dengan saldo rekening bank Anda. Para peneliti keamanan dari Zimperium baru-baru ini mengungkap varian baru dari mobile banking Trojan berbahaya bernama GoldPickaxe, yang tidak hanya mencuri credential perbankan tradisional tetapi juga secara aktif mengumpulkan data biometrik seperti rekaman wajah untuk melewati sistem verifikasi e-KYC (electronic Know Your Customer). Varian baru ini, yang dikaitkan dengan kelompok kejahatan siber GoldFactory, menarget secara agresif kawasan Asia-Pasifik (APAC) dengan Indonesia sebagai salah satu target utamanya.
Distribusi GoldPickaxe dilakukan melalui situs web palsu yang meniru platform video streaming China bernama KuaiBo. Korban yang mencari aplikasi streaming ini akan menemukan situs download palsu yang mengarahkan mereka ke APK berbahaya. Strategi distribusi menggunakan branded application palsu sangat efektif karena menargetkan demografi spesifik — dalam hal ini, pengguna yang mencari aplikasi hiburan spesifik dari region tertentu. Pendekatan ini juga memungkinkan GoldFactory untuk melakukan targeting geografis yang presisi dengan membuat situs distribusi palsu yang sesuai dengan region target, tanpa harus mengandalkan distribusi massal yang lebih mudah dideteksi oleh solusi keamanan.
Mekanisme infeksi GoldPickaxe menggunakan 3 phase yang dirancang untuk melewati pertahanan keamanan Android secara bertingkat. Phase pertama adalah Dropper APK yang berfungsi sebagai titik masuk awal — aplikasi ini tampak legitimate dan tidak mengandung kode berbahaya yang mencolok, sehingga melewati scanning awal. Phase kedua memanfaatkan SessionInstaller API untuk menginstal payload utama tanpa menampilkan dialog instalasi yang biasa muncul kepada pengguna. Phase ketiga dan paling kritis adalah Dynamic Code Loading (DCL) yang memuat kode berbahaya dari remote server secara dinamis saat runtime, sehingga payload utama tidak pernah secara statis hadir di dalam APK yang diinstal. Kombinasi tiga phase ini membuat deteksi berbasis static analysis sangat sulit karena kode berbahaya sesungguhnya tidak pernah ada di perangkat dalam bentuk statis yang bisa di-scan.
Yang menjadikan GoldPickaxe sangat relevan bagi Indonesia adalah daftar targetnya yang mencakup 118 aplikasi perbankan Indonesia — angka yang sangat signifikan dan menunjukkan bahwa GoldFactory telah melakukan riset mendalam terhadap ekosistem perbankan digital Indonesia. Selain Indonesia, GoldPickaxe juga menarget Malaysia, Amerika Serikat, Singapura, dan Arab Saudi. Luasnya cakupan target ini menunjukkan bahwa GoldFactory beroperasi sebagai organisasi kejahatan siber yang terstruktur dan memiliki kemampuan untuk melakukan parallel operations di beberapa negara secara bersamaan, dengan infrastruktur C2 (Command and Control) yang mampu menangani traffic dari ribuan perangkat yang terinfeksi di berbagai region.
GoldPickaxe mencuri PIN, pattern, dan password melalui teknik lock screen palsu yang ditampilkan di atas lock screen asli perangkat. Halaman kunci palsu ini dirancang secara visual identik dengan lock screen perangkat target, sehingga korban memasukkan PIN atau pattern mereka tanpa menyadari bahwa input mereka direkam. Lebih mengkhawatirkan lagi, GoldPickaxe secara aktif menonaktifkan fitur pengenalan wajah (facial recognition) di perangkat korban untuk memaksa penggunaan PIN atau password sebagai metode autentikasi — yang kemudian bisa dicuri oleh malware. Teknik ini sangat elegan karena bukan mencoba mengalahkan sistem pengenalan wajah yang kompleks, melainkan mengubah jalur autentikasi ke metode yang lebih rentan terhadap pencurian.
Pencurian data biometrik menjadi aspek GoldPickaxe yang paling mengkhawatirkan dan menjadi headline dari analisis ini. GoldPickaxe merekam data biometrik pengguna — termasuk rekaman wajah — yang kemudian dieksfiltrasi ke server C2 untuk tujuan melewati verifikasi e-KYC. e-KYC sendiri adalah sistem verifikasi identitas yang menggunakan teknologi pengenalan wajah dan selfie untuk memastikan bahwa pengguna yang membuka rekening atau melakukan transaksi adalah orang yang sesungguhnya. Dengan mengumpulkan data biometrik asli korban, GoldPickaxe memberikan GoldFactory bahan yang diperlukan untuk melewati sistem e-KYC ini, yang berarti penyerang tidak hanya bisa mengakses rekening bank korban tetapi juga membuka rekening baru atas nama korban atau melakukan transaksi yang memerlukan verifikasi biometrik.
Screen scraping melalui Accessibility Services memungkinkan GoldPickaxe untuk menangkap setiap informasi yang ditampilkan di layar perangkat korban. Dalam konteks aplikasi perbankan, ini berarti informasi saldo, daftar transaksi, nomor rekening, dan data sensitif lainnya bisa dicuri tanpa perlu mengintersep komunikasi jaringan. Teknik screen scraping juga memungkinkan pencurian data dari aplikasi non-perbankan yang mungkin berisi informasi pendukung seperti email konfirmasi transaksi atau aplikasi dompet digital yang terhubung dengan rekening bank korban.
Fitur screen sharing melalui Media Projection API memungkinkan GoldPickaxe untuk mengirimkan tampilan layar secara real-time ke server C2. Berbeda dengan screen capture statis, screen sharing memberikan gambaran dinamis tentang aktivitas korban yang memungkinkan penyerang untuk mengamati transaksi perbankan secara langsung. Media Projection API sendiri menampilkan notifikasi kepada pengguna saat digunakan, namun GoldPickaxe menemukan cara untuk menampilkan notifikasi tersebut dengan cara yang tidak mencolok atau dengan menampilkan overlay yang menutupinya. Kemampuan ini menjadikan GoldPickaxe tidak hanya sebagai pencuri data statis tetapi juga sebagai alat pengawasan real-time yang aktif.
Pencurian kartu identitas dilakukan melalui layar upload palsu yang menampilkan instruksi untuk memotret atau mengunggah kartu identitas — dalam konteks Indonesia, ini bisa berupa KTP (Kartu Tanda Penduduk), SIM, atau dokumen identitas lainnya. Layar palsu ini menampilkan instruksi yang tampak wajar dan berkaitan dengan proses verifikasi identitas, sehingga korban dengan senang hati mengunggah dokumen identitas mereka tanpa menyadari bahwa data tersebut langsung dikirim ke penyerang. Kombinasi pencurian data biometrik (wajah), credential perbankan (PIN/password), dan dokumen identitas (KTP) memberikan GoldFactory segala yang diperlukan untuk melakukan identity theft komprehensif terhadap korban di Indonesia.
GoldPickaxe juga menampilkan layout palsu yang meniru tampilan Kementerian Indonesia untuk mengumpulkan izin dari pengguna dengan cara yang meyakinkan secara visual. Penyalahgunaan institusi pemerintah sebagai kedok sosial engineering merupakan teknik yang sangat efektif di Indonesia karena masyarakat cenderung mematuhi instruksi yang terlihat berasal dari otoritas pemerintah. Teknik ini, dikombinasikan dengan manipulasi manifest untuk membuat aplikasi crash saat dianalisis oleh tools seperti JADX dan Apktool, menunjukkan tingkat profesionalisme GoldFactory dalam mengantisipasi upaya analisis forensik.
Dari sisi teknis, GoldPickaxe menggunakan manifest tampering yang dirancang khusus untuk membuat aplikasi crash saat dianalisis oleh tools reverse engineering statis seperti JADX dan Apktool. Teknik anti-analysis ini mempersulit researcher untuk melakukan static analysis terhadap kode malware karena tools yang biasa digunakan akan mengalami error saat mencoba membuka APK. Selain itu, enkripsi AES dengan dynamic IVs di dalam native library libnaLib.so menambah lapisan perlindungan terhadap data yang dikirim ke server C2. Penggunaan dynamic IVs (Initialization Vectors) memastikan bahwa setiap sesi komunikasi menghasilkan ciphertext yang berbeda, sehingga signature-based detection terhadap traffic GoldPickaxe menjadi sangat sulit.
Analisa Retasan
GoldPickaxe merepresentasikan eskalasi paling signifikan dalam ancaman mobile banking di Indonesia — dari pencurian credential konvensional menjadi pencurian identitas biometrik yang komprehensif. Dengan 118 aplikasi perbankan Indonesia dalam daftar targetnya dan kemampuan untuk mencuri data wajah untuk bypass e-KYC, GoldPickaxe bukan sekadar ancaman terhadap saldo rekening, melainkan ancaman terhadap seluruh identitas digital dan finansial pengguna. Untuk pertama kalinya dalam sejarah mobile banking, informasi biometrik pengguna yang seharusnya menjadi pertahanan terakhir justru menjadi target utama serangan.
Pengguna perbankan digital di Indonesia harus segera mengambil tindakan preventif: hanya mengunduh aplikasi perbankan dari Play Store resmi, tidak menginstal aplikasi dari link yang dikirimkan melalui pesan atau media sosial, dan waspada terhadap aplikasi yang meminta izin Accessibility Service tanpa alasan yang jelas. Dari sisi industri, bank-bank dan fintech Indonesia harus mempertimbangkan untuk menambahkan lapisan autentikasi out-of-band yang tidak bergantung pada perangkat — seperti verifikasi melalui email terpisah atau hardware token fisik — sebagai pertahanan terhadap malware yang mampu mengkompromi seluruh surface autentikasi pada satu perangkat. Investasi dalam deteksi DCL (Dynamic Code Loading) dan anomali Accessibility Service juga harus menjadi prioritas dalam arsitektur keamanan mobile banking.
Sumber: Zimperium – GoldPickaxe Returns: When Your Biometric Information Is As Important As Your Money | Tags: GoldPickaxe, GoldFactory, Banking Trojan, Biometric Theft, Indonesia