Akhir pekan ini ramai diperbincangkan sebuah file Android Package Kit (.apk) bernama "undangan pernikahan". Sejumlah media online memberitakannya sebagai modus penipuan.
Kabar penipuan berkedok "undangan pernikahan" pertama kali dibuat oleh Merdeka.com pada 19 Januari lalu. Diceritakan, keluarga Derasmus Kenlopo asal Kupang, Nusa Tenggara Timur kehilangan uang di rekening banknya sebesar Rp14 juta.
Menurut Derasmus, istrinya menerima sebuah pesan di WhatsApp berupa "link" undangan pernikahan. Sang istri membukanya untuk memastikan siapa yang menikah. Tak berapa lama, begitu dikisahkan, di HP sang istri muncul notifikasi dari bank terkait aktivitas transfer dari rekening mereka ke sejumlah rekening orang lain. Ketika dicek di ATM, saldo di rekening tinggal Rp25.000.
Ketika melapor ke Bank Rakyat Indonesia, Derasmus mendapatkan keterangan bahwa rekeningnya telah dibobol oleh seseorang tak dikenal karena dirinya telah memberikan kode password sekali pakai (OTP). Padahal, "Saya jelaskan bahwa kami hanya buka undangan nikah, sehingga klik link untuk mencari tahu siapa yang menikah," ujarnya.
Dalam berita itu hanya disebutkan, Derasmus menerima pesan berupa tautan, bukan file berformat .apk bernama "undangan pernikahan".
Sementara itu, sejumlah warganet Indonesia di Facebook juga pengguna WhatsApp ramai memviralkan tangkapan layar sebuah pesan file .apk bernama "undangan pernikahan". Mereka mengaitkan file itu dengan berita yang dialami oleh keluarga Derasmus.
Apakah file .apk seperti itu yang diterima oleh keluarga Derasmus, tidak ada informasi yang mendukungnya. Saya sejauh ini belum bisa mengonfirmasi tentang ini.Bisa saja, yang diterima istri Derasmus memang berbentuk tautan (nama domain web atau URL), bukan file .apk yang bisa dieksekusi untuk terinstal di ponsel Android. Jadi, serangan bisa berupa tautan atau file .apk.
Malware kurir
Malware kurir
Sejauh ini, yang viral di media sosial adalah tangkapan layar pesan WhatsApp yang menggambarkan file .apk dengan nama "undangan pernikahan" dan "surat undangan pernikahan digital".
Beredarnya file tersebut mengingatkan dengan serangan malware kurir bernama "J&T_Express.apk" yang memakan banyak korban antara November-Desember 2022. File ini dikirimkan oleh seseorang yang berpura-pura sebagai kurir ekspedisi J&T Express melalui WhatsApp; seolah-olah ingin mengirimkan paket, padahal tidak ada paket sama sekali. Penerima pesan diarahkan untuk mengklik file dan menginstalnya.
Pada 19 Januari, setelah hampir dua bulan penyidikan terhadap kasus tersebut, Polri akhirnya membongkar sindikasi serangan. Sebanyak 58 orang diduga terlibat di serangan siber tersebut – 13 tersangka ditahan, 25 orang masih diperiksa dan ditangkap, dan 20 orang masih buron. Penangkapan dilakukan di sejumlah daerah, seperti Sulawesi Selatan, Sumatera Selatan, Riau, Lampung, dan Jawa Timur. Kerugian yang dialami sekitar 493 korban ditaksir mencapai Rp11,9 miliar, di antara mereka adalah nasabah BRI.
Baik aktor di balik file "undangan pernikahan" maupun malware kurir, modusnya mirip: file .apk dikirimkan melalui WhatsApp.
Malware kurir memiliki kemampuan menerima, membaca, dan mengirim SMS. Inilah mengapa malware ini sangat berbahaya karena bisa membaca kode OTP dan bisa melakukan SMS banking.
Apakah file .apk "undangan pernikahan" juga memiliki kemampuan yang sama?
Analisis file
Analis forensik digital juga CEO RootBrain, perusahaan konsultan keamanan siber dan IT asal Yogyakarta, Josua Sinambela, mengatakan, file "undangan pernikahan" memiliki kemiripan dengan malware kurir.
"Sekilas masih sama seperti (file) .apk yang dulu (baca: malware kurir). Pembuatnya belum kapok," ujar Josua kepada saya, Jumat (27 Januari 2023).
Dari analisisnya, file .apk yang berukuran 5,53 MB itu ketika diinstal akan bernama "Undangan Digital" di HP. Ketika dibuka, aplikasi tersebut memunculkan halaman undangan pernikahan digital. Josua mengatakan, aktor di balik file tersebut membuat template undangan online yang diarahkan ke zeinvitation.com.
"Dari situ tinggal ganti nama tamunya. Jadi, sebenarnya lumayan canggih mereka. Mereka sudah punya daftar nama target dan nomor WhatsApp," Josua menambahkan.
Dugaan Josua bahwa peretas telah memiliki informasi tentang pribadi calon korban berdasarkan isi pesan yang dikirimkan. Seperti gambar di bawah ini, peretas mengirimkan pesan kepada "ROSMELINA SINAGA"—langsung menulis nama lengkap penerima.
Tampak dalam chat, bahwa tidak ada penolakan dari sang penerima pesan, bahwa itu salah kirim, justru dijawab "Maaf siapa ini"—penerima pesan masih berlaku sopan dan menanyakan nama pengirim.
Ketika melihat MainActivity dari aplikasi tersebut, tampak izin yang diminta pada HP Android yang menginstalnya, yaitu akses internet, baca SMS/MMS, terima dan kirim SMS.
Mari kita lihat dari deskripsi dari masing-masing izin akses aplikasi tersebut.
Baca SMS atau MMS. Jika diizinkan, aplikasi membaca pesan SMS yang tersimpan di HP atau kartu SIM. Aplikasi berbahaya mungkin membaca pesan rahasia pemilik HP.
Terima SMS. Jika diizinkan, aplikasi menerima dan memproses pesan SMS. Aplikasi berbahaya mungkin memonitor atau menghapus pesan tanpa memperlihatkannya kepada pemilik HP.
Kirim SMS. Jika diizinkan, aplikasi mampu mengirimkan pesan SMS. Aplikasi jahat mungkin dikenai biaya saat mengirimkan pesan tanpa konformasi pemilik HP.
Berdasarkan temuan itu, Josua berkeyakinan kuat bahwa pembuatnya adalah sindikat yang sama dengan malware kurir. "Itu hanya rename, modifikasi dari aplikasi kemarin. Sama persis nama dan path aplikasinya," kata Josua.
Tampak dari skrip di bawah ini tertulis "https://api.telegram.org/ bot5942982961: […] Notifikasi Sadap JNT SMS Dari"
Hal sama juga disampaikan peneliti keamanan siber Adi Saputra, yang menyebut aplikasi "Undangan Digital" adalah sebuah modifikasi. Itu terlihat dari bagian package name: "com.google.androidsmstesT" .
"Kalau dilihat dari package name, itu masih sekadar fork," kata Adi kepada, Sabtu.
Di dunia perangkat lunak, fork merujuk pada aplikasi yang dikembangkan oleh pengembang menggunakan salinan kode sumber dari suatu aplikasi bersumber terbuka.Pengembang lalu memodifikasi untuk menjadi aplikasi baru.
"(Nama) aslinya aplikasi itu smstest," Adi menjelaskan. Menurut dia, hal ini sama seperti malware kurir sebelumnya yang memodifikasi dari aplikasi "SMStoTelegram".
Adi menyebut aplikasi jahat ini sebagai kelompok infostealer, bukan golongan malware RAT (remote access trojan). Sebab, RAT membutuhkan eksekusi dari pembuatnya, sedangkan infostealer sudah otomatis mengeksekusi dan mengirim data curian dari perangkat terinfeksi.
SMS Banking
Merujuk dari deskripsi izin aplikasi jahat "Undangan Digital", dengan cukup jelas mengingatkan pada simpulan Josua ketika menganalisis malware kurir sebelumnya. Ia meyakini dengan kuat, raibnya uang nasabah BRI yang menginstal file .apk kurir saat itu lantaran peretas mampu melakukan SMS banking. Pendek kata, jika saat ini ada korban kehilangan uang setelah menginstal aplikasi "Undangan Digital", skema pencurian tak jauh berbeda dengan sebelumnya.
Sekadar diketahui, format SMS banking di BRI sebagai berikut:
- transfer ke sesama: TRANSFERBRI+No.rekeningNOMINALPIN kirim ke 3300
- Transfer ke bank lain: TRANSFERKodeBankTujuan+NoRekeningNominalPIN kirim Ke 3300
- Cek saldo: SALDOPIN kirim ke 3300
- Isi pulsa: PULSANomor HPNominalPIN kirim ke 3300
- Token PLN: BELIPLNPREID PLNNominalPIN kirim ke 3300
- Ubah PIN SMS/Mobile banking: PINPIN BARUPIN LAMA kirim ke 3300
Terlihat bahwa semua aktivitas SMS banking selalu mencantumkan kode PIN. Dan, umumnya, pengguna SMS banking jarang menghapus riwayat SMS setelah melakukan transaksi. Di sinilah, aktor jahat bisa membaca kode PIN dari riwayat SMS tersebut.
Namun, analisis lain juga diutarakan oleh pakar keamanan siber dari Vaksin.com, Alfons Tanujaya. Pada Sabtu (28 Januari 2023), Alfons mengirimkan analisisnya kepada saya bahwa sebenarnya dengan instal file .apk "undangan pernikahan", tidak cukup bagi peretas mengakses akun mobile banking korban.
"Karena mengakses akun m-banking butuh User ID, password, PIN persetujuan transaksi, dan OTP," ujar Alfons. Karena file .apk jahat tersebut hanya bisa mencuri kode OTP via SMS.
Argumen Alfons masih sama dengan ketika menganalisis malware kurir. Serangan tersebut berkaitan dengan phishing yang terjadi medio 2022, di mana banyak nasabah BRI yang terjebak informasi palsu tentang kenaikan biaya transfer bulanan dan diarahkan untuk mengisi kredensial perbankannya di situsweb milik peretas. Dari sinilah, data-data perbankan calon korban telah dikumpulkan. Aplikasi jahat seperti "undangan pernikahan" dan "malware kurir" hanyalah skenario terakhir sebagai "gong" untuk mendapatkan kode OTP dari HP milik orang yang telah ditargetkan.
Solusi: mode pesawat dan uninstall
Ketika file .apk "undangan pernikahan" diinstal, tak tampak aplikasi di beranda HP. Namun, aplikasi bisa dilihat di bagian "Setting". Masing-masing HP Android memiliki lokasi "Setting" yang berbeda. Namun, di HP Android yang dipakai oleh Josua, cara mencarinya pada "Setting>Storage>App Storage". Maka, terlihat gambar seperti di bawah ini.
Selanjutnya, pengguna tinggal meng-uninstall aplikasi "Undangan Digital".
Yang perlu diperhatikan, Josua mengingatkan, warga yang sudah telanjur menginstal aplikasi jahat tersebut, cepat-cepat mengaktifkan fitur "Mode Pesawat". Ini supaya HP tak mendapatkan koneksi internet atau jaringan seluler. Barulah, mencari aplikasi di pengaturan untuk dicopot.
Tentu saja, masyarakat jangan sembarangan mengklik tautan atau file apa pun yang mencurigakan. Lebih baik hapus pesan dan blokir nomor kontak asing, kecuali pengguna bisa mengidentifikasi pengirim dengan cara lain yang memastikan pesan yang diterimanya aman. Jika tidak bisa memastikan aman, blokir dan lupakan.
Selanjutnya, pastikan untuk selalu menginstal aplikasi melalui toko aplikasi resmi, seperti Google Play Store.
Terkait dengan aplikasi m-banking, disarankan segera mengganti password dan PIN persetujuan transaksi.
"Sebenarnya, jika bank menerapkan sistem dan prosedur dengan baik dan cerdik, penjahat akan kesulitan mengambil alih akun m-banking sekalipun berhasil mendapatkan semua kredensial dan OTP persetujuan transaksi," kata Alfons.
Kepada perbankan, Alfons juga berpesan agar menerapkan "verifikasi What You Have untuk perpindahan akun m-banking ke ponsel baru atau nomor ponsel baru. Jadi, jangan mengandalkan verifikasi What You Know saja untuk memindahkan akun m-banking ke ponsel atau nomor ponsel baru."
Verifikasi What You have contohnya adalah verifikasi kartu ATM, KTP asli, fisik pemilik rekening, sedangkan verifikasi What You Know yaitu berupa User ID, password, PIN persetujuan transaksi, dan kode OTP.
Terakhir, Alfons meminta agar pemerintah mengatur lembaga finansial untuk menentukan standar pengamanan transaksi finansial digital yang ketat dan aman.
"Hal ini sangat penting karena banyaknya kasus pembobolan m-banking ini akan menurunkan kepercayaan masyarakat terhadap sektor keuangan digital. Padahal, pemerintah sangat berkepentingan terhadap digitalisasi dalam sektor finansial bagi perkembangan ekonomi Indonesia," ujar Alfons.[]