RadarBangkalan.id - Para penipu penyebar APK palsu pencuri SMS kini telah mengubah metode mereka untuk menjalankan aksinya.
Metode baru ini menggunakan SMS yang langsung dikirim ke nomor korban, menggantikan metode lama yang menggunakan bot SMS to Telegram.
Sebelumnya, penipu memanfaatkan bot tersebut untuk mem-forward semua SMS dari ponsel korban, termasuk SMS berisi OTP, ke akun Telegram mereka.
Metode ini berhasil dibongkar oleh beberapa ahli keamanan, seperti Malvin Valerian, yang bahkan bisa mengusili bot Telegram penipu.
Namun, penipu kini beralih menggunakan layanan SMS langsung ke ponsel mereka tanpa memanfaatkan bot Telegram.
Setiap kali korbannya menjalankan APK pencuri SMS, setelah mereka berhasil menipu korban untuk menyetujui akses data dan layanan SMS, APK ini akan mengirimkan satu SMS kosong dari ponsel korban ke nomor ponsel yang telah dipersiapkan. Tujuannya adalah untuk mengidentifikasi nomor ponsel korban.
Setelah mendapatkan nomor ponsel korban, penipu menjadikan nomor tersebut sebagai sasaran eksploitasi.
Mereka mengirimkan banyak OTP dan memalsukan identitas mereka seolah-olah berasal dari institusi yang terpercaya, dengan memalsukan nama pengirim SMS.
APK penipuan ini biasanya datang dengan menyamar sebagai Surat Pemberitahuan Wajib Pajak, Paket Kurir Online, atau Undangan Pernikahan.
Setelah diinstal, aplikasi akan meminta izin untuk mengirim dan melihat SMS milik korban.
Meskipun OS Android memberikan peringatan bahwa aplikasi ini potensial berbahaya, banyak korban tetap tertipu karena mereka mengira sedang membuka dokumen penting dari kantor pajak atau kurir online.
Mereka kemudian memberikan hak akses yang diminta aplikasi, termasuk hak untuk melihat dan mengirimkan SMS.
Sebelumnya, APK penipuan memanfaatkan bot SMS to Telegram untuk mengirimkan semua SMS dari ponsel korban, termasuk SMS OTP, ke akun Telegram penipu.
Namun, karena aksi ini sudah terendus dan banyak netizen melakukan serangan serta spamming terhadap bot jahat tersebut, penipu mengganti metodenya menjadi targeted phishing.
Kini, ponsel korban akan secara otomatis mengirimkan SMS kosong ke nomor ponsel penipu untuk mengidentifikasi dan menginformasikan nomor ponsel yang telah tertipu menginstal APK.
Pusat komando penipuan kemudian akan menginstruksikan penipu lain yang sudah standby untuk langsung menghubungi korban melalui WhatsApp guna melakukan penipuan lebih lanjut.
Penipu biasanya memalsukan profile picture WhatsApp mereka sebagai Dirjen Pajak, kepolisian, atau kurir online.
Mereka juga memalsukan pengirim SMS agar terlihat meyakinkan, seperti dari PLN Mobile atau IBRAYA (Internet Banking Bank Raya).
Tujuan utama penipu adalah agar korban lebih percaya dan mau menyerahkan OTP atau informasi penting lainnya.
OTP yang diminta biasanya adalah OTP penting, seperti OTP dari WhatsApp untuk mengalihkan akun WhatsApp korban, OTP akun digital penting seperti email, media sosial, atau OTP finansial mobile banking.
Untuk mencegah menjadi korban penipuan, pengguna Android harus ekstra hati-hati dan jangan pernah menjalankan aplikasi yang diterima dari sumber yang tidak dikenal.
Sangat disarankan untuk menggunakan program antivirus yang dapat melindungi dari APK jahat.
Pastikan juga setting [Install unknown apps] atau [Instal aplikasi yang tidak dikenal] selalu dalam posisi off, dan tidak ada aplikasi yang diizinkan untuk menginstal aplikasi tidak dikenal.
Dengan langkah-langkah pencegahan yang tepat, pengguna dapat menghindari ancaman dari penipuan APK ini dan melindungi data pribadi serta informasi penting mereka dari penipu. ***
Editor : Azril Arham