Modus pengiriman file APK jahat berkedok kurir J&T Express melalui WhatsApp. Foto: Instagram J&T Express
Modus pengiriman file APK jahat berkedok kurir J&T Express melalui WhatsApp. Foto: Instagram J&T Express
Cyberthreat.id – Masih ingat dengan aplikasi Android jahat berkedok perusahaan ekspedisi "J&T Express" yang viral akhir tahun lalu?
Serangan perangkat lunak jahat (malware) tersebut akhirnya terbongkar oleh Kepolisian Republik Indonesia. (Baca: Geger Malware Kurir)
Pada 19 Januari 2023, Direktorat Tindak Pidana Siber Bareskrim Polri membekuk 13 tersangka, memeriksa 25 orang, dan masih memburu 20 orang. Total sebanyak 58 orang diduga terlibat dalam sindikasi serangan yang merugikan 495 korban. Mereka diperkirakan meraup keuntungan dari kejahatan itu hingga Rp11,9 miliar.
Sumber Cyberthreat.id yang mengetahui perkara tersebut menceritakan Rabu (1 Februari 2023), bahwa ada dua orang yang di balik malware tersebut. Keduanya kini telah mendekam di jeruji besi rumah tahanan.
Pertama, pemuda berusia 19 tahun bernama Al. Ia masih berstatus sebagai mahasiswa di sebuah kampus di Sulawesi Selatan, mengambil jurusan bahasa Inggris. Al belajar komputer dan programming secara autodidak. Sebelum kejahatan siber itu terungkap aparat hukum, ia beberapa kali mengunggah konten video di YouTube tentang pembuatan situsweb dan aplikasi Android.
Dari situlah, ia kemudian mempromosikan sebuah forum diskusi online yang diselipkan di deskripsi setiap unggahan videonya. Dari forum itu, ia kemudian berkenalan dengan Randi Ramli (RR). Randi inilah orang kedua yang berperan penting dalam pembuatan juga penjualan aplikasi yang dipakai untuk serangan yang berpura-pura sebagai "kurir J&T Express".
Berita Terkait:
Baik Al maupun Randi sama-sama berasal dari Sulawesi Selatan. Hanya saja, Randi yang masih berusia 18 tahun bekerja serabutan alias tak jelas, ujar sumber tersebut.
Randi banyak bertanya kepada Al tentang pembuatan aplikasi. Randi kemudian memodifikasi aplikasi yang dibeli dari Al seharga Rp300 ribu.
Setelah memodifikasinya, Randi bersama rekannya yang juga bertemu di forum online itu, menjual aplikasinya di media sosial. Aplikasi di-hosting di sebuah server jauh di Banyuwangi, Jawa Timur, sumber itu menjelaskan. Rekan di Banyuwangi bernama YG turut membantu mempromosikan file jahat itu kepada "orang-orang yang membutuhkan".
Pada dasarnya, sumber itu menjelaskan, Randi membuat aplikasi itu berdasarkan pesanan. Ia menjualnya seharga Rp1 juta per aplikasi. Dari penjualan tersebut, ia diperkirakan telah meraup uang sebesar Rp30 juta. Aplikasi dirancang oleh Randi untuk mengeruk segala data SMS, salah satunya kode OTP, dari perangkat korban yang menginstalnya. (Baca: Aplikasi Bodong ‘J&T_Express.apk’, Curi Data SMS untuk Keruk Saldo Bank)
Ketika aplikasi itu menjadi viral di media sosial, lalu ada kesaksian korban yang kehilangan uang puluhan juta rupiah usai menginstal aplikasi itu, Randi dan Al kaget. Akhirnya server aplikasi di Banyuwangi itu dimatikan. Para pembeli yang menggunakan malware untuk serangan penipuan yang menargetkan nasabah Bank Rakyat Indonesia itu berteriak, "kenapa tidak bisa dipakai".
Di depan penyidik, kata sumber itu, Randi mengaku tak tahu-menahu dengan sindikasi penipuan online yang menggunakan aplikasi tersebut. Randi mengaku sebatas ingin mendapatkan uang dengan berjualan aplikasi.
Secanggih-canggihnya tupai melompat, bisa jatuh pula. Sebelum Randi dibekuk, peneliti keamanan siber independen Nikko Enggaliono asal Sidoarjo, Jawa Timur pada 5 Desember 2022 merilis analisis file bernama "Lihat Foto Paket.apk", salah satu dari tiga file .apk jahat yang beredar akhir tahun lalu. (Baca: BSSN: Ini Malware SMS Stealer Kategori Dangerous)
Ketika Nikko mengetes aplikasi itu dengan tidak memberikan izin saat diinstal di ponsel, ternyata aplikasi akan mulai melakukan hit ke rest api dengan endpoint. Dan, terlihat dua URL yang merujuk ke situsweb randiramli.com.
Berbekal alamat web itu, Nikko melacak alamat IP yang dipakai—ternyata Randi memakai layanan Cloudflare guna mengelabui pelacakan. Nikko akhirnya berhasil menemukan subdomain bernama "kumpulanscript.randiramli.com". Domain tersebut dibeli pada 30 Desember 2021 di penyedia (registrar) DomainNesia di Yogyakarta.
Nikko pun berhasil melacak informasi whois dan mendapatkan nomor seluler dan email Randi. Pelacakan berlanjut ke media sosial dan akun Telegram.
Randi sempat mengontak Nikko dan mempertanyakan mengapa namanya ada dalam ulasan file .apk tersebut. "Itu kenapa ya ada domainku di blogmu, bisa dijelasin krono-nya," tulisnya kepada Nikko.
Kepada Nikko, Randi mengklaim ada peretas yang menaruh kode backdoor di cPanel, alat yang dipakai untuk mengelola situsweb, server, dan lain-lain.
"Coba klarifikasi dulu. Soalnya gw gk pernah kek gitu. Itu ada yang akses cpanel-ku. Make backdoor. Tolong di hps. Blum pasti. Soalnya merusak nama baik," kata Randi.
Tak lama setelah itu, situsweb Randi tidak aktif. Nama akun medsos Randi juga berganti nama aneh untuk menghapus jejak digital. Sejak namanya viral, polisi mengendus keberadaannya dan berakhirlah sepak terjangnya di dunia maya.[]
Share:
