Peneliti keamanan siber menemukan trojan perbankan Android baru bernama Datzbro, yang mampu melakukan device takeover (DTO) dan transaksi palsu dengan menargetkan kalangan lansia.

Perusahaan keamanan mobile asal Belanda, ThreatFabric, mengungkap bahwa kampanye ini terdeteksi sejak Agustus 2025 setelah sejumlah pengguna di Australia melaporkan adanya penipu yang mengelola grup Facebook bertema “perjalanan aktif untuk senior.” Negara lain yang turut jadi sasaran termasuk Singapura, Malaysia, Kanada, Afrika Selatan, dan Inggris.

Kampanye ini secara khusus menyasar lansia yang mencari aktivitas sosial, perjalanan, pertemuan langsung, dan kegiatan serupa. Grup Facebook tersebut diketahui membagikan konten yang dihasilkan AI, seolah-olah mengorganisir beragam acara untuk para senior.

Calon korban yang tertarik biasanya didekati melalui Facebook Messenger atau WhatsApp, lalu diarahkan untuk mengunduh file APK dari tautan palsu (misalnya download.seniorgroupapps[.]com).

“Situs web palsu ini meminta pengunjung untuk menginstal aplikasi komunitas, dengan klaim aplikasi tersebut memungkinkan registrasi acara, koneksi dengan anggota, hingga pelacakan jadwal,” jelas ThreatFabric.

Menariknya, situs tersebut juga menyertakan tautan placeholder untuk aplikasi iOS, menunjukkan bahwa pelaku ingin menjangkau kedua sistem operasi dengan memanfaatkan distribusi aplikasi melalui TestFlight untuk menipu korban.

Jika korban menekan tombol unduh aplikasi Android, malware akan langsung dipasang di perangkat, atau menggunakan dropper berbasis layanan pengikat APK bernama Zombinder, yang dirancang untuk melewati pembatasan keamanan Android 13 ke atas.

Beberapa aplikasi Android yang diketahui menyebarkan Datzbro antara lain:

Seperti trojan perbankan Android lain, Datzbro mampu:

Fitur menonjolnya adalah remote control mode, yang memungkinkan malware mengirim informasi detail tentang semua elemen layar (posisi, isi, dan tata letaknya) sehingga operator bisa merekonstruksi layar korban dari jarak jauh dan sepenuhnya mengendalikan perangkat.

Trojan ini juga dapat menampilkan overlay hitam semi-transparan dengan teks tertentu untuk menyamarkan aktivitas berbahaya, mencuri PIN layar kunci, serta kata sandi aplikasi populer seperti Alipay dan WeChat. Selain itu, Datzbro memindai event logs untuk mendeteksi paket aplikasi perbankan atau dompet kripto, serta teks berisi PIN, kata sandi, atau kode verifikasi.

Menurut ThreatFabric, hal ini menunjukkan bahwa Datzbro bukan hanya spyware, melainkan juga ancaman finansial serius. Dengan keylogging, malware dapat menangkap kredensial login aplikasi mobile banking dari korban tanpa curiga.

Analisis kode menunjukkan bahwa Datzbro kemungkinan dibuat oleh kelompok berbahasa Mandarin, karena terdapat string debug dan log dalam bahasa Mandarin. Aplikasi jahat ini terhubung dengan sistem command-and-control (C2) berbasis aplikasi desktop berbahasa Mandarin, berbeda dari mayoritas malware lain yang menggunakan panel berbasis web.

Bahkan, versi terkompilasi aplikasi C2 ini ditemukan diunggah ke situs berbagi malware publik, menandakan bahwa Datzbro mungkin telah bocor dan kini beredar bebas di kalangan penjahat siber.

Temuan Datzbro muncul bersamaan dengan laporan IBM X-Force mengenai kampanye trojan Android AntiDot (nama sandi PhantomCall) yang menyasar pengguna bank besar di berbagai negara, termasuk Spanyol, Italia, Prancis, AS, Kanada, UEA, dan India. Malware ini menyebar melalui aplikasi Chrome palsu yang mampu melewati batasan Android 13 terkait Accessibility API.

Menurut analisis PRODAFT (Juni 2025), AntiDot dikelola oleh aktor finansial LARVA-398 dan dijual sebagai layanan Malware-as-a-Service (MaaS) di forum bawah tanah.

PhantomCall memanfaatkan CallScreeningService API untuk memantau dan memblokir panggilan masuk dari nomor tertentu, sehingga korban terisolasi dari komunikasi sah, sementara penyerang dapat melakukan transaksi palsu atau aksi penipuan lainnya tanpa ketahuan.

“PhantomCall juga memungkinkan pengiriman kode USSD secara diam-diam untuk mengalihkan panggilan, sambil memblokir panggilan sah, sehingga korban terputus dari jalur komunikasi asli,” jelas peneliti Ruby Cohen.

Respons Google

Menanggapi laporan ini, Google menyatakan:

“Pengguna Android secara otomatis terlindungi dari versi malware yang sudah dikenal melalui Google Play Protect, yang aktif secara default di perangkat dengan Google Play Services. Play Protect dapat memperingatkan atau memblokir aplikasi berbahaya, bahkan jika aplikasi tersebut berasal dari luar Play Store.”

Kasus Datzbro menegaskan evolusi ancaman mobile yang semakin menyasar pengguna awam, terutama lansia. Modus promosi kegiatan sosial di Facebook yang tampak sepele dapat berujung pada pengambilalihan perangkat, pencurian kredensial, hingga penipuan finansial.