Pakar Ungkap Modus Kejahatan Siber Berkedok File Paket APK

JawaPos.com - Media sosial (medsos) tengah dihebohkan dengan beredarnya unggahan terkait penipuan berkedok kurir pengiriman paket dari sebuah ekspedisi. Dari banyak tangkapan layar yang beredar, penipu yang mengaku kurir mengirimkan chat dan sebuah lampiran file.

Dalam lampiran tersebut tampak jenis file adalah APK, bukan file foto seperti yang sering dijumpai kebanyakan. Namun nama file tertulis LIHAT Foto Paket. File dengan ekstensi APK sendiri biasa dipakai untuk mendistribusikan berkas paket aplikasi Android atau saat hendak menginstal software.

Kemudian dalam posting-an yang dibagikan oleh akun Instagram bernama @evan_neri.tftt, dia menjelaskan korban yang terlanjur mengklik dan mengunduh file mendapati saldo di mobile banking-nya ludes. Padahal korban tak pernah menjalankan atau membuka aplikasi apapun serta mengisi user ID atau password pada situs lain.

Lewat blog-nya, pegiat keamanan jaringan atau network security, Nikko Enggaliano Pratama, mengungkap siapa penipu ini. Melalui penelusurannya, dirinya menemukan seseorang bernama Rand* Raml* dengan akun Instagram @rndyinher* dan akun Telegram @RndyTechOfficia*.

Melalui blog pribadinya, dia menjelaskan bahwa inti dari bentuk kejahatan digital ini adalah, korbannya 'dihipnotis' dengan bentuk manipulasi psikologi. Ini berjalan seperti 'Apa benar ada sebuah paket?' maka si korban akan merasa 'ah tidak' lalu korban akan terhipnotis sekali lagi untuk membuka sebuah file 'LIHAT Foto Paket' tersebut.

Dalam kasus yang viral, untungnya si korban sadar dan langsung melakukan blokir ke nomor tersebut. "Tapi dalam kasus lain jika sudah terinstal dan diizinkan semua permission yang dibutuhkan oleh si aplikasi dan voila, semua 'data' SMS akan tercuri dan dari sinilah kejahatan berikutnya berlanjut," terang Nikko.

Secara singkat, dirinya menerangkan kalau aplikasi ini hanya WebView aplikasi yang melakukan loading terhadap web JET (https://jet.co.id/track) lalu sisanya adalah melakukan pengecekan permission untuk ****READ SMS****.

"Dari bagian kode di atas saja sudah sangat SUS karena jika memang ini aplikasi hanya untuk pengecekan JET RESI, kenapa butuh permission SMS," katanya menjelaskan.

Jika korban mengklik dan menyetujui semua permission apk tersebut, semua 'data' SMS akan tercuri. Menurutnya, inilah awal kejahatan berikutnya. Nikko kemudian melakukan decompile aplikasi ini untuk mencari kode sumber (source code). Aplikasi ini kemudian diketahui meminta izin (permission) untuk menerima SMS, akses internet, mengirim SMS.

Saat sudah bisa masuk hingga ke intinya, Nikko mendapatkan sejumlah keterangan. Bahwa, IP Adress pembuat aplikasi ini adalah randiram**.com [172.67.177.9*] serta menggunakan server Cloudflare.

Menelusuri lebih jauh, dia membuka situs tersebut dan tercantum tulisan 'asu yang buka'. Ia juga mendapatkan detil pemetaan alur domain dan subdomainnya. Salah satu yang menarik adalah tampilan dari subdomain kumpulanscript.randiram**.com.

Domain ini dibeli melalui provider DomainNesia. Dicek menggunakan [who.is](https://who.is), domain ini dibeli 30 Desember 2021, "dekat-dekat dengan tahun baru dan habis pada tahun ini di bulan ini juga," terangnya.

Menanggapi situasi ini, Pihak J&T Express dalam akun Instagram resminya meminta masyarakat untuk selalu waspada dan berhati-hati dengan oknum yang mengatasnamakan J&T Express.

"Sprinter J&T Express tidak pernah meminta J&T Friends untuk mengunduh aplikasi melalui Whatsapp atau chat. Aplikasi resmi kami hanya ada di App Store dan Play Store dengan nama pencarian 'J&T Express'," tulis akun tersebut.

Kemudian, J&T Express juga meminta agar masyarakat selalu berhati-hati dengan modus aktivasi nomor resi/ cetak resi melalui transfer m-banking ataupun virtual account. J&T Express juga tidak pernah menagihkan biaya tambahan saat proses pengiriman berlangsung dan jika konsumen merasa ragu atau ada yang janggal diminta untuk langsung menghubungi call center.