PasundanEkspres - Para penipu yang menyebarkan APK palsu pencuri SMS telah mengubah metode mereka, kini menggunakan SMS langsung yang dikirim ke nomor korban.
Sebelumnya, mereka memanfaatkan bot SMS to Telegram untuk meneruskan semua SMS dari ponsel korban, termasuk SMS berisi OTP, ke akun Telegram mereka. Namun, metode ini berhasil dibongkar dan bot Telegramnya sering diusili, salah satunya oleh Malvin Valerian.
Kini, para penipu beralih ke metode yang lebih langsung, menggunakan layanan SMS langsung ke ponsel penipu tanpa menggunakan bot Telegram.
Ketika korban menjalankan APK pencuri SMS, setelah disetujui akses data dan layanan SMS, APK ini akan mengirimkan satu SMS kosong dari ponsel korban ke nomor ponsel yang telah dipersiapkan. Tujuannya untuk mengidentifikasi nomor ponsel korban.
Setelah nomor ponsel korban berhasil diidentifikasi, nomor tersebut dijadikan target eksploitasi. Penipu kemudian mengirimkan banyak OTP dan berpura-pura sebagai institusi terpercaya dengan memalsukan nama pengirim SMS.
Modus Operansi Pengiriman APK
APK berbahaya ini biasanya menyamar sebagai Surat Pemberitahuan Wajib Pajak, Paket Kurir Online, atau Undangan Pernikahan. Setelah diinstal, aplikasi tersebut akan meminta izin untuk mengirim dan melihat SMS milik korban.
Saat korban menjalankan APK jahat ini, selain meminta izin instalasi, OS Android sebenarnya sudah memberikan peringatan bahwa aplikasi ini berpotensi berbahaya dan harus diwaspadai.
Namun, korban sering kali tertipu oleh rekayasa sosial, mengira bahwa mereka membuka dokumen dari kantor pajak atau kurir online, sehingga mereka memberikan hak akses yang diminta, khususnya akses untuk melihat dan mengirimkan SMS.
Phishing Terarah dan Tanpa Telegram
Sebelumnya, APK ini menggunakan bot SMS to Telegram untuk mengirimkan semua SMS dari ponsel korban ke akun Telegram penipu. Namun, karena metode ini sudah terendus dan banyak netizen yang melakukan serangan dan spamming terhadap bot jahat tersebut, penipu beralih ke metode phishing terarah.
Kini, ponsel korban akan secara otomatis mengirimkan SMS kosong ke nomor ponsel yang berfungsi sebagai pusat komando atau koordinator penipuan. Ini dilakukan untuk mengidentifikasi dan menginformasikan nomor ponsel yang tertipu menginstal APK.
Pusat komando penipuan akan menginstruksikan penipu lain yang sudah standby untuk menghubungi korban melalui WhatsApp guna melakukan penipuan lebih lanjut. Penipu akan memalsukan foto profil WhatsApp sebagai Dirjen Pajak, kepolisian, atau kurir online.
Mereka juga memalsukan nama pengirim SMS agar terlihat meyakinkan, seperti PLN Mobile atau IBRAYA (Internet Banking Bank Raya).
Tujuannya adalah agar korban lebih percaya saat diminta untuk menyerahkan OTP atau informasi lainnya. OTP yang diminta biasanya adalah OTP penting seperti OTP WhatsApp untuk mengalihkan akun WhatsApp korban, OTP akun digital seperti email, media sosial, atau OTP finansial mobile banking.
Pencegahan Penipuan
Untuk mencegah menjadi korban penipuan, pengguna Android harus ekstra hati-hati dan jangan pernah menjalankan aplikasi yang diterima, terutama yang meminta akses SMS. Disarankan untuk menggunakan program antivirus yang akan melindungi dari APK jahat.
Pastikan pengaturan [Install unknown apps] atau [Instal aplikasi yang tidak dikenal] selalu off dan tidak ada aplikasi yang diizinkan untuk menginstal aplikasi tidak dikenal.v
