Penelusuran dan laporan ini dibuat untuk keperluan SAFEnet.
Ceritanya, sejak Oktober 2019 lalu, SAFEnet menerima laporan tentang kemungkinan serangan digital melalui SMS berisi tautan (link) untuk memasang aplikasi tertentu. Pengaduan itu pada awalnya muncul di lingkaran aktivis.
Karena itu ada kecurigaan bahwa SMS itu tak hanya sekadar spam, tetapi berisi malware untuk memata-matai (spyware). Apalagi yang dapat SMS dan kemudian melapor lebih banyak dari teman-teman yang bekerja di isu sensitif.
Konten SMS-nya memiliki format sama: menyapa nama orang yang dikirim disertai tautan. Contohnya, “Sinta, bram kirimkan foto ke kamu. Unduh MiChat untuk melihatnya. Chat-v.com/s/7gi877.”
Kami pun menelusuri lebih lanjut tautan dalam SMS itu. Kami juga bekerja sama dengan AccessNow untuk memeriksanya lebih lanjut. Laporan pertama sudah kami terbitkan di situs SAFEnet. Ditulis ulang di sini untuk dokumentasi dan pembelajaran pribadi.
Kategori Aman
Pemindaian dengan dua website yaitu VirusTotal dan URLScan menunjukkan, tautan tersebut masuk kategori aman. Kedua situs yang memindai tidak menemukan malware apapun di tautan tersebut. Situs VirusTotal mencatat beberapa tautan serupa telah didaftarkan juga.
Daftarnya bisa dibuka pada tautan berikut.
Jika tautan itu dibuka, dia akan mengarahkan ke situs Apple Store sehingga terlihat tidak mencurigakan. Namun, ini hanya pengelabuan. Penelusuran lebih lanjut pada link itu mengarah ke Google Playstore untuk memasang (install) aplikasi MiChat yang bisa mengakses hampir semua konten di Andorid, termasuk WhatsApp.
Sebagai aplikasi di Android, MiChat yang sudah diinstal ini bisa mengakses perangkat Andorid pengguna, termasuk kamera, bluetooth, kontak, penyimpanan, pesan, jejak wifi, dan lain-lain. Namun, hal serupa juga sebenarnya bisa dilakukan aplikasi lain yang kita instal di Android kita.
Penelusuran menggunakan situs analisis risiko keamanan RiskIQ menunjukkan pendaftar situs tersebut atas nama name.com, inc dengan alamat email giester@gmail.com yang berasal dari Singapura. Alamat IP-nya di 107.155.55.60 yang ketika dibuka ternyata menjadi alamat dari banyak tautan serupa dari v-chat.com.
Tautan-tautan serupa dengan pola serupa juga menggunakan domain michat.sg dan vchat.im yang ketika dibuka lebih lanjut ternyata didaftarkan di Singapura, untuk michat.sg, dan Hong Kong untuk vhcat.im.
Hal mencurigakan dari tautan untuk menginstall aplikasi tersebut adalah APK yang menyertainya. Ada lima APK di mana salah satunya yaitu base.apk yang ketika dicek lebih lanjut dengan situs pemindai ternyata masuk kategori merah menurut Symantec Mobile Insight. File tersebut terdeteksi sebagai AppRisk.Generisk.
Menurut situsweb Symantec, Android.Generisk termasuk deteksi umum di Android yang bisa menimbulkan risiko pada privasi, keamanan, atau gangguan stabilitas pada perangkat Android yang digunakan.
Mencurigakan
Namun, hal paling mencurigakan dalam aplikasi tersebut adalah penggunaan perintah linux “su”. Su command biasanya digunakan untuk mengubah ke pengguna lain ketika baru login. Ini hal janggal di aplikasi Android karena menandakan adanya usaha untuk mengubah super user, meski untuk itu harus dilakukan di root-nya.
Berkaca terhadap temuan di atas, bisa disimpulkan bahwa pengiriman pesan sampah lewat SMS berisi tautan untuk menginstal aplikasi MiChat bisa terjadi ke banyak orang. Tidak hanya aktivis atau kelompok tertentu. Potensi ancamannya tergolong rendah dan tidak terlalu berbahaya, tetapi tetap perlu diantisipasi jika mendapatkan pesan serupa.
Lalu, apa yang sebaiknya kita lakukan jika mendapatkan pesan semacam itu?
Pertama, jika mendapatkan SMS berisi tautan serupa, perlu mencegah dengan TIDAK MEMBUKA link di dalam SMS tersebut. Segera hapus SMS tersebut, terutama jika datang dari nomor tidak dikenal atau nomor kenalan baru.
Kedua, Untuk korban yang sudah membuka link tersebut dari ponsel, terutama Android, segera pasang antivirus semacam Malwarebytes agar bisa segera membersihkan ponsel dari kemungkinan sudah diretas dengan spyware di dalamnya.
Ketiga, jika merasa yakin ponselnya sudah terkena, tetapi tidak bisa menemukan, korban sebaiknya menyetel ulang (factory reset) ponselnya untuk membersihkan ponsel dari kemungkinan sudah terkena spyware.
Terakir, jika ponsel sudah melakukan aktivitas-aktivitas di luar kebiasaan, misalnya mengirim SMS sendiri tanpa kita tahu atau hidup mati sendiri, sebaiknya memikirkan kemungkinan untuk berganti atau bertukar ponsel dengan orang lain.
Demikian panduan mitigasi ini disusun dengan kemampuan keamanan digital dasar hingga menengah sehingga diperlukan penilaian dan mitigasi lebih lanjut oleh orang yang lebih ahli jika memungkinkan.
Leave a Reply