TEMPO.CO, Jakarta - Pakar keamanan siber dan forensik digital dari Vaksincom, Alfons Tanujaya, menjelaskan soal bagaimana cara kerja aplikasi ‘handphone kamu’ yang menyamar sebagai aplikasi pajak. Aplikasi tersebut digunakan oleh penjahat siber untuk melakukan scam (skema penipuan untuk mendapatkan uang, barang, atau data) di batas akhir pelaporan Surat Pemberitahuan (SPT) Tahunan pada Maret 2023.
“Salah satu kepiawaian pembuat aplikasi pencuri SMS ini adalah terlihat sangat mengerti bagaimana cara kerja sistem Android yang dieksploitasinya, karena memilih nama aplikasi yang tidak umum dengan nama aplikasi ‘handphone kamu’ dan icon yang kosong,” ujar dia lewat keterangan tertulis pada Selasa, 28 Maret 2023.
Hal tersebut, kata Alfons, akan membuat pemilik ponsel bingung, apalagi ketika muncul peringatan bahwa aplikasi tersebut meminta hak akses berbahaya seperti membaca dan mengirimkan SMS. Logikanya mana mungkin pemilik ponsel tidak membolehkan handphonenya sendiri membaca dan mengirimkan SMS. “Dan kemungkinan permintaan akses tersebut akan di izinkan oleh pemilik ponsel,” ucap dia.
Aplikasi itu berasal dari domain khusus https://pajak.contact yang menyaru sebagai situs pajak pemerintah dan memanfaatkannya untuk membuat alamat email efiling@pajak.contact guna mengelabui korbannya. Korban nantinya mengira itu dari alamat resmi pajak yang sebenarnya efiling@pajak.go.id dan melakukan broadcast ke wajib pajak dengan mengirimkan tautan berisi file APK (Android Package Kit).
Ketika file APK itu di instal akan menampilkan aplikasi Android yang sangat mirip dengan tampilan situs kantor pajak. Tidak cukup mengirimkan APK pencuri SMS, jika korbannya termakan situs phishing itu, maka ia akan dikelabui untuk memasukkan data nomor kartu ATM dan Kartu Kredit korbannya.
“Cerdiknya, aplikasi pencuri APK yang memalsukan sebagai aplikasi pajak ini menamai dirinya ‘handphone kamu’,” tutur Alfons.
Namun, Alfons menyarankan, jika sudah terlanjur menginstal aplikasi pencuri SMS, bisa dilakukan pengecekan aplikasi apa saja yang memiliki hak untuk membaca SMS. Caranya melakukan pengecekan dengan cara klik Pengaturan lalu pilih Privasi, kemudian pilih Manajer izin.
Setelah itu, gulung ke bawah dan pilih SMS untuk melihat aplikasi apa saja yang memiliki hak untuk membaca SMS. Nantinya akan terlihat bahwa aplikasi yang memiliki hak akses yang wajar terhadap SMS adalah Google, Google Play Store, Messenger (Facebook), Pesan (aplikasi bawaan ponsel membaca SMS) dan Telepon.
“Sedangkan aplikasi yang tidak berhak mengakses SMS tapi mendapatkan izin adalah ‘handphone kamu’ dan ‘Shopee express’. Dua aplikasi terakhir adalah aplikasi APK pencuri SMS yang harus segera di uninstal,” tutur Alfons.
Pilihan Editor: Alasan Keran Impor Beras Dibuka, Bapanas: Bulog Baru Serap 50 Ribu Ton di Panen Raya
Ikuti berita terkini dari Tempo di Google News, klik di sini