Penipuan dengan modus kurir mengirim foto belakangan ini viral di media sosial. Scammers yang mengaku sebagai kurir meminta pengantaran sekaligus mengirimkan foto yang diklaim dikemas padahal aplikasi (APK) menyasar akun target.
Salah satu netizen yang mengungkap penipuan ini adalah pengguna Instagram dengan akun @evan_neri.tftt. Menurutnya, pelaku berpura-pura menjadi kurir J&T Express yang berusaha memverifikasi identitas penerima paket.
Itu juga mengirimkan lampiran dengan nama file ‘LIHAT Paket Foto’. Ekstensi datanya bukan dalam format foto biasa, seperti .jpg atau .jpeg, melainkan .apk.
Menurut Evan, penipuan ini menggunakan malware jenis RAT (Remote Administrator Tool). Singkatnya, malware ini akan memungkinkan pelaku untuk mengontrol ponsel korban tanpa sepengetahuannya.
Dari beberapa korban yang sudah mengunduh, Evan mengungkapkan bahwa saldo korban sudah ludes. Korban tidak pernah menjalankan atau membuka aplikasi apa pun dan mengisi user ID dan password di situs lain.
“Dalam hal ini, korban sudah mengunduh file tersebut. Dan tanpa sepengetahuan korban, saldo BRIMO sudah ludes. Korban mengaku tidak pernah menjalankan atau membuka aplikasi apa pun dan mengisi user ID dan password di situs lain, ” dia melanjutkan. Jadi bagaimana cara kerja penipuan ini?
Korban diwajibkan mengklik pesan yang bertuliskan LIHAT Foto Paket. Meski bernama ‘foto’, file tersebut merupakan aplikasi berekstensi APK.
Jika korban mengklik dan menyetujui semua izin aplikasi, semua ‘data’ SMS akan dicuri.
“Inti dari bentuk kejahatan digital ini adalah, korbannya ‘dihipnotis’ dengan bentuk manipulasi psikologis ‘Apakah ada paketnya?’ lalu korban akan merasa ‘ah tidak’ lalu korban akan dihipnotis sekali lagi untuk membuka file ‘LIHAT Paket Foto’,” kata aktivis keamanan jaringan dari Universitas Muhammadiyah Sidoarjo, Nikko Enggaliano Pratama.
Nikko mengatakan, aplikasi ini bisa masuk ke akun M-Banking karena biasanya korban menggunakan nomor yang sama dengan yang digunakan untuk Whatsapp. Pelaku juga akan menganggap korban memiliki saldo yang besar di rekening M-Banking.
Karena itu, kata dia, para pelaku kejahatan membuat aplikasi dengan target mencuri data SMS. Pasalnya, pihak bank membutuhkan one time password (OTP) yang akan dikirimkan melalui SMS.
“tetapi korban tidak selalu melakukan transaksi SMS yang membutuhkan OTP, pasti sudah kedaluwarsa. Betul. tetapi bagaimana kalau pelaku memulai semuanya dengan login, dan transfer dari perangkatnya? Karena sudah bisa mengakses OTP dari ponselmu,” kata Nikko. Berdasarkan penelusuran aplikasi The 5.5 MB ‘SEE Package foto’ mengungkapkan beberapa akses luar biasa yang dapat diperoleh APK jika diizinkan oleh calon korbannya.
Yakni, menerima SMS, mengakses internet, dan mengirim SMS.
Identitas Pelaku Terungkap
Lebih lanjut, Nikko kemudian menelusuri pelaku penipuan tersebut. Menurutnya, pelaku bernama Rand* Raml* dengan akun Instagram @rndyinher* dan akun Telegram @RndyTechofficia*.
Nikko kemudian mendekompilasi aplikasi ini untuk menemukan kode sumbernya. Aplikasi ini kemudian diketahui meminta izin untuk menerima SMS, mengakses internet, dan mengirim SMS.
“Tidak peduli aplikasi ini asli dengan yang beredar atau tidak, aplikasi ini juga mencuri data SMS dari pengguna yang memasang ini,” jelasnya.
Aplikasi dengan nama basic com.rndytech.smstest ini memuat situs J&T (https://jet.co.id/track). Selebihnya, pengecekan perizinan untuk membaca SMS.
“Kalau memang aplikasi ini hanya untuk pengecekan JET RESI, mengapa harus izin SMS?” dia berkata.
Setelah membongkar pemeriksaan izin, Nikko menemukan potongan kode yang mengarah ke desain perangkat lunak yang dapat menghubungkan lebih dari dua aplikasi atau REST API (https://randiramli.com) dengan detail isi ponsel yang digunakan korban.
“Itu jahat. Mengapa pengembang aplikasi perlu mengetahui detail perangkat kita?” dia berkata.
Bagaimana Menghindari
Sementara itu, Nikko mengingatkan agar tidak mudah menginstal aplikasi, terutama yang berasal dari luar app store resmi seperti Google Play Store.
“Pesan moral yang bisa disampaikan di awal adalah jangan pernah install aplikasi selain Play Store, itu langkah awal,” ujar Nikko, “Langkah yang agak keras adalah install aplikasi yang umum saja.” Klarifikasi J&T
Di sisi lain, J&T telah mengklarifikasi kasus ini. J&T menegaskan namanya hanya digunakan oleh penipu dan tidak pernah meminta pelanggan mengunduh aplikasi.
“Sprinter J&T Express 𝗧𝗜𝗗𝗔𝗞 𝗣𝗘𝗥𝗡𝗔𝗛 meminta J&T Friends untuk mengunduh aplikasi tersebut melalui Whatsapp atau chat. Aplikasi resmi kami hanya ada di App Store dan Play Store dengan nama pencarian ‘J&T Express’,” jelas perseroan dalam akun Instagramnya, Sabtu ( 19/11).
J&T juga mengimbau pelanggan untuk berhati-hati
l mode lain, seperti mengaktifkan nomor resi
atau cetak struk via transfer.
“Dan harap selalu berhati-hati dengan modus aktivasi nomor resi/cetak struk melalui m-banking atau transfer virtual account. J&T Express tidak pernah memungut biaya tambahan selama proses pengiriman,” ujarnya.
Begitu pula dengan akun resmi BRI @contact BRI, meminta nasabah untuk berhati-hati dengan phishing atau penipuan untuk mencuri data pribadi.
“Sahabat BRI. Waspadai modus penipuan yang mengatasnamakan kurir pengiriman paket yang mengirimkan file APK. Jangan pernah klik atau install file tersebut untuk menghindari kebocoran data atau pencurian (Phishing),” cuit akun tersebut.
