# Bedah Anatomi Scam APK "Undangan Pernikahan": Dari Modus Hingga Jeroan Kodenya

Belakangan ini, kasus penipuan berkedok file `.apk` yang dikirim melalui WhatsApp semakin meresahkan. Mulai dari undangan pernikahan, surat tilang, hingga resi paket. Namun, apa sebenarnya yang terjadi di balik layar saat korban menekan tombol "Install"?

![](https://cdn.hashnode.com/res/hashnode/image/upload/v1770817769396/76a1c6a4-5f81-4c38-b0f3-7bb8e2d4aca8.png align="center")

Berdasarkan sampel malware yang berhasil diamankan dan dibedah (di-*decompile*), berikut adalah analisis teknis cara kerja sindikat ini.

## 1\. Penyamaran Sempurna: Menggunakan Framework Flutter

Berbeda dengan malware generasi awal yang kodingannya kasar, sampel terbaru ini dibangun menggunakan **Flutter**. Hal ini terbukti dari adanya file library [`libapp.so`](http://libapp.so) dan folder aset `flutter_assets` di dalam struktur aplikasi.

Penggunaan Flutter membuat tampilan aplikasi terlihat sangat meyakinkan, halus, dan responsif, sehingga korban tidak curiga bahwa ini adalah aplikasi jahat.

## 2\. Mekanisme "Dropper": Musuh dalam Selimut

Aplikasi yang pertama kali diinstal korban sebenarnya hanyalah "kulit" atau pengantar (istilah teknisnya: *Dropper*). Tugas utamanya bukan mencuri, tapi **membuka pintu**.

Dalam analisis file `classes3.dex`, ditemukan fungsi berbahaya bernama `installApkFromAssets`.

* **Cara Kerjanya:** Aplikasi ini membawa "muatan" (file virus asli) yang disembunyikan. (nama file .apk hanya ektensi tanpa nama)
    
* **Izin Berbahaya:** Di file `AndroidManifest.xml`, aplikasi meminta izin `REQUEST_INSTALL_PACKAGES`. Izin ini memungkinkan aplikasi kulit tadi untuk menginstal aplikasi virus kedua secara diam-diam atau memanipulasi korban untuk mengizinkannya.
    

## 3\. Identifikasi Ancaman: Trojan SMS & Banking

Setelah aplikasi kedua (virus utama) terinstal, barulah pencurian dimulai. Berdasarkan hasil pemindaian sampel menggunakan **VirusTotal**, aplikasi ini terdeteksi oleh puluhan antivirus ternama sebagai **Trojan.SmsSpy** dan **Android.Banker**.

> ![](https://cdn.hashnode.com/res/hashnode/image/upload/v1770817936532/5199e0dd-02bd-4dd8-977f-d235e2d55167.png align="center")
> 
> **\]**
> 
> *Caption: Puluhan antivirus mendeteksi file ini sebagai Trojan SMS Spy dan Banking Malware.*

Label seperti `Trojan-Spy.AndroidOS.Banker` dan `SmsSpy` menunjukkan kemampuan virus ini:

1. **Membaca SMS:** Mengincar kode OTP (One-Time Password) dari bank.
    
2. **Overlay Attack:** Menampilkan layar login palsu di atas aplikasi m-banking asli.
    

## 4\. Infrastruktur Pencuri: Telegram Sebagai Penampung

Salah satu temuan paling menarik dari bedah kode ini adalah ke mana data curian dikirim. Alih-alih menggunakan server *Command & Control* (C2) yang canggih, pelaku memanfaatkan **Bot Telegram**.

![](https://cdn.hashnode.com/res/hashnode/image/upload/v1770817999409/6ee79504-8a1c-4989-b586-8d2164f0f092.png align="center")

Di dalam kode sumber, ditemukan hardcode API Telegram:

* **Target URL:** [`api.telegram.org`](http://api.telegram.org)
    
* **Metode:** `sendMessage` (Mengirim pesan teks berisi OTP korban).
    
* **ID Pelaku:** Analisis URL menemukan indikasi ID Chat `7096883098` sebagai penerima data.
    

Ini berarti setiap kali ada SMS OTP masuk ke HP korban, virus akan "mem-forward" isinya ke chat Telegram pribadi si penipu secara *real-time*.

## 5\. Fitur "Worm": Menyebar Lewat Kontak WhatsApp

Banyak korban melaporkan bahwa HP mereka mengirim file undangan ini secara otomatis ke semua kontak. Ini terjadi karena virus menyalahgunakan fitur **Aksesibilitas (Accessibility Service)**.

Dengan izin ini, malware bisa melakukan "klik otomatis" pada layar:

1. Membuka WhatsApp.
    
2. Melampirkan file APK dirinya sendiri.
    
3. Mengirim ke daftar kontak terbaru.
    

## Kesimpulan & Pencegahan

Malware ini adalah kombinasi dari *Social Engineering* (rekayasa sosial) dan teknik *Dropper* yang cukup rapi.

**Langkah Pencegahan:**

1. Jangan pernah menginstal file `.apk` dari luar Play Store, apalagi dari chat WhatsApp.
    
2. Jika sudah terlanjur menginstal, segera **Matikan Koneksi Internet (Airplane Mode)**.
    
3. Lakukan **Factory Reset** (Reset Pabrik) untuk memastikan virus bersih hingga ke akarnya.
    
4. Laporkan nomor penipu dan blokir.
    

Kejahatan siber terus berevolusi. Pengetahuan adalah pertahanan terbaik kita. Sebarkan artikel ini agar orang-orang terdekat Anda tidak menjadi korban selanjutnya.

---
