Melindungi Aplikasi Mobile Banking dari Serangan Trojan Perbankan

By
Cecep Supriadi
-
[Reading Time Estimation: 3 minutes]

melindungi aplikasi mobile banking dari trojanMelindungi Aplikasi Mobile Banking Indonesia dari Serangan Trojan Perbankan

Marketing.co.id – Berita Financial Services | Layanan perbankan melalui perangkat ponsel pintar (mobile banking) telah merevolusi layanan keuangan di Indonesia. Namun, adopsi digital yang cepat ini juga membawa risiko signifikan karena penjahat siber menggunakan metode yang semakin canggih untuk mengeksploitasi kerentanan dalam aplikasi mobile banking.

Salah satu ancaman paling berbahaya adalah trojan mobile banking, program jahat yang dirancang khusus untuk menyusup ke perangkat, mencuri data sensitif, dan melakukan penipuan melalui aplikasi mirip mobile banking.

Peningkatan Trojan Perbankan di Indonesia

Trojan khusus aplikasi perbankan seperti Blankbot, Godfather, ToxicPanda, GoldPickAxe, dan Sharkbot telah muncul sebagai senjata kuat para penjahat siber. Saat ini, Trojan Blankbot sangat aktif di Indonesia. Kelompok malware ini menggunakan taktik canggih seperti serangan overlay, keylogging, dan eksploitasi desktop jarak jauh untuk menipu pengguna dan mengompromikan keamanan aplikasi.

Sebagai contoh, serangan overlay menipu pengguna untuk memasukkan kredensial pada antarmuka palsu yang menyerupai aplikasi perbankan resmi, sementara keylogging merekam penekanan tombol untuk menangkap kata sandi dan PIN. Trojan juga mengeksploitasi layanan aksesibilitas untuk memantau aktivitas layar dan melakukan tindakan tanpa izin, yang semakin meningkatkan ancaman.

Di Indonesia, di mana penggunaan mobile banking sangat tinggi, dampak Trojan ini sangat besar. Bagi konsumen, risikonya mulai dari terkurasnya rekening, pencurian identitas, hingga kehilangan data pribadi. Sedangkan bagi bank, serangan ini menyebabkan penipuan, kerusakan reputasi, dan sanksi regulasi.

Tren yang mengkhawatirkan adalah meningkatnya kolaborasi antara trojan perbankan dan penipuan perangkat langsung. Berbeda dengan taktik penipuan tradisional yang mengandalkan sistem eksternal, modus ini menggunakan perangkat yang telah dikompromikan untuk melakukan transaksi penipuan secara langsung. Dengan melewati langkah-langkah keamanan tradisional, kemitraan antara trojan dan penipuan perangkat langsung menciptakan ancaman yang hampir tak tertembus, membuat solusi keamanan aplikasi seluler lama maupun yang berbasis SDK tidak lagi efektif.

Bank dan perusahaan teknologi keuangan (fintech) di Indonesia perlu mengadopsi pendekatan yang sangat berbeda dalam membangun keamanan aplikasi seluler agar dapat terlindung secara efektif dari Trojan Perbankan. Mereka harus memanfaatkan otomatisasi pertahanan berbasis AI-ML untuk melindungi aplikasi mobile banking dari ancaman yang semakin canggih.

Proteksi kunci yang diperlukan untuk membangun pertahanan menyeluruh terhadap Trojan perbankan meliputi:

  • RASP (Perlindungan Mandiri Aplikasi Saat Beroperasi/Runtime Application Self-Protection): Memastikan operasi aplikasi tetap tidak dapat diubah, mencegah Trojan melakukan tindakan jahat selama aplikasi berjalan.
  • Pengaburan Kode: Melindungi kode aplikasi dari rekayasa balik, menjaga logika sensitif aplikasi tetap aman dari penyerang.
  • Deteksi Root: Memblokir aplikasi agar tidak berjalan pada perangkat yang telah di-root atau di-jailbreak, di mana kerentanan keamanan lebih tinggi.
  • Pencegahan Serangan MitM (Man-in-the-Middle): Mengenkripsi data yang sedang ditransfer, melindungi informasi pengguna dari intersepsi.
  • Pencegahan Keylogging: Melindungi input pengguna, seperti kredensial dan PIN, dari perekaman oleh program jahat.
  • Blokir Serangan Overlay: Mendeteksi dan mencegah layar palsu/malicious yang ditampilkan di atas layar aplikasi untuk menipu pengguna agar mengungkapkan informasi sensitif atau melakukan tindakan berbahaya secara tidak sengaja.
  • Blokir Malware Layanan Aksesibilitas: Mencegah penggunaan layanan aksesibilitas tanpa izin, menutup celah kritis untuk Trojan.
  • Pencegahan Eksploitasi Desktop Jarak Jauh: Mengamankan aplikasi dari akses dan manipulasi dari jarak jauh tanpa izin.
  • Validasi Aplikasi Google Play Store: Memastikan hanya versi aplikasi autentik yang dapat berjalan, mengurangi risiko aplikasi palsu dengan Trojan.
  • Pencegahan Intersepsi melalui SMS, 2FA, dan OTP: Mengamankan komunikasi dalam aplikasi dan melindungi mekanisme autentikasi.

Sifat dinamis Trojan perbankan modern membuat pertahanan tradisional tidak efektif. Industri BFSI (Banking, Financial Services, and Insurance/Perbankan, Layanan Keuangan, dan Asuransi) di Indonesia perlu membangun model keamanan yang siap menghadapi ancaman di masa depan yang mampu menangani ancaman yang ada dan yang baru muncul. Pendekatan ini memastikan perlindungan menyeluruh, menjaga pengguna dan institusi keuangan tetap aman dalam lanskap ancaman yang terus berkembang.

Menyediakan Mobile Banking yang Aman dan Bebas Penipuan

Institusi keuangan memerlukan platform keamanan canggih seperti Appdome, yang menawarkan manfaat yang melampaui pengguna individu untuk melindungi institusi keuangan dan jaringan mereka. Bagi konsumen, ini berarti memastikan pengalaman perbankan yang aman dan bebas penipuan dengan melindungi data dan dana sensitif mereka. Bagi bank, platform seperti ini mencegah pengambilalihan akun, transaksi tanpa izin, dan upaya penipuan skala besar, sehingga mempertahankan kepercayaan pelanggan dan mengurangi risiko operasional.

Seiring dengan terus berkembangnya sektor mobile banking Indonesia, semakin canggihnya Trojan seperti Blankbot, ToxicPanda, dan Godfather mengingatkan akan lanskap ancaman siber yang terus berubah. Institusi keuangan perlu tetap berada di depan tantangan ini, memberikan keamanan yang kokoh untuk melindungi pelanggan dan bisnis mereka.