Bedah Anatomi Scam APK "Undangan Pernikahan": Dari Modus Hingga Jeroan Kodenya

Belakangan ini, kasus penipuan berkedok file .apk yang dikirim melalui WhatsApp semakin meresahkan. Mulai dari undangan pernikahan, surat tilang, hingga resi paket. Namun, apa sebenarnya yang terjadi di balik layar saat korban menekan tombol "Install"?

Berdasarkan sampel malware yang berhasil diamankan dan dibedah (di-decompile), berikut adalah analisis teknis cara kerja sindikat ini.

1. Penyamaran Sempurna: Menggunakan Framework Flutter

Berbeda dengan malware generasi awal yang kodingannya kasar, sampel terbaru ini dibangun menggunakan Flutter. Hal ini terbukti dari adanya file library libapp.so dan folder aset flutter_assets di dalam struktur aplikasi.

Penggunaan Flutter membuat tampilan aplikasi terlihat sangat meyakinkan, halus, dan responsif, sehingga korban tidak curiga bahwa ini adalah aplikasi jahat.

2. Mekanisme "Dropper": Musuh dalam Selimut

Aplikasi yang pertama kali diinstal korban sebenarnya hanyalah "kulit" atau pengantar (istilah teknisnya: Dropper). Tugas utamanya bukan mencuri, tapi membuka pintu.

Dalam analisis file classes3.dex, ditemukan fungsi berbahaya bernama installApkFromAssets.

• Cara Kerjanya: Aplikasi ini membawa "muatan" (file virus asli) yang disembunyikan. (nama file .apk hanya ektensi tanpa nama)

• Izin Berbahaya: Di file AndroidManifest.xml, aplikasi meminta izin REQUEST_INSTALL_PACKAGES. Izin ini memungkinkan aplikasi kulit tadi untuk menginstal aplikasi virus kedua secara diam-diam atau memanipulasi korban untuk mengizinkannya.

3. Identifikasi Ancaman: Trojan SMS & Banking

Setelah aplikasi kedua (virus utama) terinstal, barulah pencurian dimulai. Berdasarkan hasil pemindaian sampel menggunakan VirusTotal, aplikasi ini terdeteksi oleh puluhan antivirus ternama sebagai Trojan.SmsSpy dan Android.Banker.

]

Caption: Puluhan antivirus mendeteksi file ini sebagai Trojan SMS Spy dan Banking Malware.

Label seperti Trojan-Spy.AndroidOS.Banker dan SmsSpy menunjukkan kemampuan virus ini:

1. Membaca SMS: Mengincar kode OTP (One-Time Password) dari bank.

2. Overlay Attack: Menampilkan layar login palsu di atas aplikasi m-banking asli.

4. Infrastruktur Pencuri: Telegram Sebagai Penampung

Salah satu temuan paling menarik dari bedah kode ini adalah ke mana data curian dikirim. Alih-alih menggunakan server Command & Control (C2) yang canggih, pelaku memanfaatkan Bot Telegram.

Di dalam kode sumber, ditemukan hardcode API Telegram:

• Target URL: api.telegram.org

• Metode: sendMessage (Mengirim pesan teks berisi OTP korban).

• ID Pelaku: Analisis URL menemukan indikasi ID Chat 7096883098 sebagai penerima data.

Ini berarti setiap kali ada SMS OTP masuk ke HP korban, virus akan "mem-forward" isinya ke chat Telegram pribadi si penipu secara real-time.

5. Fitur "Worm": Menyebar Lewat Kontak WhatsApp

Banyak korban melaporkan bahwa HP mereka mengirim file undangan ini secara otomatis ke semua kontak. Ini terjadi karena virus menyalahgunakan fitur Aksesibilitas (Accessibility Service).

Dengan izin ini, malware bisa melakukan "klik otomatis" pada layar:

1. Membuka WhatsApp.

2. Melampirkan file APK dirinya sendiri.

3. Mengirim ke daftar kontak terbaru.

Kesimpulan & Pencegahan

Malware ini adalah kombinasi dari Social Engineering (rekayasa sosial) dan teknik Dropper yang cukup rapi.

Langkah Pencegahan:

1. Jangan pernah menginstal file .apk dari luar Play Store, apalagi dari chat WhatsApp.

2. Jika sudah terlanjur menginstal, segera Matikan Koneksi Internet (Airplane Mode).

3. Lakukan Factory Reset (Reset Pabrik) untuk memastikan virus bersih hingga ke akarnya.

4. Laporkan nomor penipu dan blokir.

Kejahatan siber terus berevolusi. Pengetahuan adalah pertahanan terbaik kita. Sebarkan artikel ini agar orang-orang terdekat Anda tidak menjadi korban selanjutnya.

---