Baru-baru ini, masyarakat awam dikejutkan dengan satu taktik penipuan siber yang mengeksploitasi fail APK demi tujuan-tujuan yang jahat. Apa itu .apk dan bagaimana ia berfungsi?
Secara umumnya, .apk ialah format fail untuk mengedar (distribute) dan memasang (install) aplikasi di telefon pintar Android. Dalam bahasa mudah, sebarang aplikasi Android seperti Whatsapp, Calculator, Tiktok, Calendar dan sebagainya berasal daripada fail .APK.
Eksploitasi .APK
Namun, sepertimana perisian biasa, perisian Android juga boleh dieksploitasi sebagai perisian hasad (Malware = Malicious Software).
Perisian hasad yang mengeksploitasi telefon pintar Android ini mempunyai impak domestik yang amat besar dek kerana peranti peribadi ini selalu diguna pakai untuk urusan peribadi yang sensitif seperti perbankan, jual beli dan penyimpanan data peribadi.
Berikut merupakan jenis-jenis eksploitasi perisian hasad APK:
- Trojan: Perisian yang menyamar seakan perisian sebenar, tetapi hakikatnya tersembunyi eksploitasi-ekploitasi jahat.
- Ransomware: Perisian hasad yang mampu mengunci (lock-out) peranti sebagai tebusan. Mangsa perlu membayar untuk menebus perantinya kembali.
- Spyware: Perisian jahat yang mengintip segala aktiviti di peranti demi mendapatkan data-data sensitif.
Bagaimana eksploitasi APK berlaku?
Pertamanya, masyarakat umum akan tertanya, wajarkah (Taktik, Teknik, Prosedur) TTP ini dibincang secara umum? Bagaimana kalau ada individu berniat jahat meniru teknik-teknik ini?
Ia amat wajar! Perbincangan TTP secara telus dan terbuka ialah strategi ampuh untuk melemahkan jenayah-jenayah siber ini. Kita boleh dapati semua TTP ini didokumentasi di laman web terbuka seperti MITRE ATT&CK dan sebagainya sebagai rujukan.
Berbalik kepada persoalan asal, bagaimana eksploitasi APK berlaku?
Senario: “Pak Karim tertipu dengan Jemputan Kahwin Palsu”
Seusai solat Isyak, Pak Karim pulang ke rumahnya dan bersiap-siap untuk menonton TV. Tiba-tiba, Pak Karim menerima kiriman Whatsapp daripada rakan karibnya seperti gambar di atas yang menjemputnya ke kenduri perkahwinan anaknya. Segala butiran majlis disertakan melalui lampiran tersebut.
Dengan penuh rasa gembira dan teruja, atas jemputan rakannya itu, Pak Karim pun memuat turun fail tersebut. Fail tersebut merupakan .APK yang perlu dipasang secara manual. Ketika pemasangan, Pak Karim perlu memberikan kebenaran “Install from Unknown Source” dan beberapa kebenaran akses lain seperti gambar di bawah.
Aplikasi itu kelihatan sangat meyakinkan. Tertera pelbagai informasi tentang majlis, jemputan dan sebagainya. Dia pun memberikan butiran peribadinya melalui aplikasi tersebut tanpa ragu-ragu. Setibanya pada tarikh ‘majlis’ itu, barulah dia perasan dia telah tertipu.
Analisa Tragedi Pak Karim
- (Social Engineering – Phishing) – Kiriman WhatsApp daripada nombor yang dikenali
- Pemilihan Waktu – Phishing yang bersasar akan memilih waktu yang mudah untuk memanipulasi manusia. Dalam hal ini, waktu jenayah dilakukan ketika Pak Karim sudah penat seharian.
- Penyamaran Orang yang dikenali – Pak Karim menerima mesej WhatsApp dari seorang rakan yang dikenalinya.
- Membangkitkan keterujaan – Pak Karim yang bersemangat untuk melihat butiran perkahwinan memuat turun dan memasang aplikasi tersebut.
- Kelihatan Asli – Ia kelihatan asli, dengan ciri-ciri untuk RSVP, melihat jadual perkahwinan, malah senarai hadiah. Mungkin ada gambar-gambar pelamin atau hiasan perkahwinan tradisional untuk lebih meyakinkan.
- (Malicious Content) Lampiran/Pautan APK (Attachment/Link)
- Mesej itu datang bersama lampiran atau pautan yang memerlukan Pak Karim memuat turun .APK secara manual tanpa Google Play Store.
- (Bypass Security) Pemasangan ‘Unknown Source’
- Oleh kerana .APK itu dimuat turun secara manual tanpa Google Play Store, Pak Karim akan ditanya sama ada dia mahu memasang .APK daripada ‘Unknown Source’.
- Dengan membenarkan pemasangan ini, ciri keselamatan pertama Android telah dinyahaktif.
- (Bypass Security) Mengaktifkan Kebenaran Akses Tambahan (Additional Permission)
- Aplikasi itu meminta Pak Karim untuk mengaktifkan kebenaran akses yang lebih lagi.
- Risiko-risiko yang berkait dengan kebenaran akses tambahan adalah seperti berikut:
| Kebenaran Akses | Penerangan | Potensi Penyalahgunaan |
| Membaca Kenalan (Contacts) | Membenarkan aplikasi membaca senarai kenalan anda. | Mencuri maklumat kenalan anda untuk penipuan pancingan data (phishing). |
| Akses SMS | Membenarkan aplikasi membaca mesej teks anda. | Mencuri maklumat sensitif seperti OTP, kata laluan atau butiran kewangan. |
| Akses Storan | Membenarkan aplikasi membaca fail yang disimpan dalam storan telefon anda. | Mengakses foto peribadi, dokumen atau fail sensitif lain.
Memuat turun perisian hasad tambahan atau mengubah suai fail sedia ada. |
| Akses Lokasi | Membenarkan aplikasi mendapatkan lokasi tepat anda menggunakan GPS dan sumber rangkaian. | Menjejaki lokasi dan pergerakan anda. |
| Akses Audio | Membenarkan aplikasi merakam audio menggunakan mikrofon anda. | Merakam perbualan anda secara rahsia. |
| Akses Kamera | Membenarkan aplikasi mengambil gambar dan video menggunakan kamera anda. | Mengambil gambar atau video secara rahsia tanpa pengetahuan anda. |
- Agenda Tersembunyi: Semasa Pak Karim berinteraksi dengan ciri-ciri yang kelihatan tidak berbahaya, aplikasi ini diam-diam melakukan kerja kotornya:
- Mencuri Maklumat Log Masuk: Ia menangkap maklumat log masuk Pak Karim untuk sebarang akaun yang diaksesnya dalam aplikasi. (e-mel, media sosial dan lain-lain)
- Mengumpul Senarai Kenalan: Ia mengakses dan menghantar keseluruhan senarai kenalan Pak Karim kepada penipu.
- Memantau Mesej: Aplikasi ini berpotensi membaca mesej Pak Karim, mencari maklumat kewangan atau kata laluan.
- Akses Jauh (Command and Control): Aplikasi ini bertindak sebagai pintu belakang ke dalam telefon Pak Karim, memberikan penipu kawalan jauh. Mereka boleh:
- Memasang Perisian Hasad: Penipu mungkin menyelinap masuk aplikasi berniat jahat lain untuk meluaskan jangkauan mereka pada telefon Pak Karim.
- Menghantar Mesej Pancingan Data (Phishing): Menggunakan telefon Pak Karim, mereka boleh menghantar mesej kepada kenalannya, menyebarkan penipuan lebih lanjut.
- Mengintip: Mereka berpotensi mendengar perbualan Pak Karim atau menonton melalui kameranya.
Kesan kepada Pak Karim
Jangan Jadi Seperti Pak Karim!
Tips Khusus buat Penjaga Warga Emas & Kanak-kanak
(Penulis amat tidak menggalakkan penggunaan telefon pintar buat kanak-kanak)
Penggunaan Google Family Link boleh dijadikan sebagai salah satu usaha untuk menghalang golongan-golongan ini daripada menjadi mangsa scam .APK.
Apa itu Google Family Link?
Cara Penggunaan Google Family Link
Kesimpulan
Kesimpulannya, penyangak siber ialah sekumpulan manusia yang sangat arif dalam selok-belok dunia siber. Mereka amat kreatif dalam mencari lompang-lompang yang boleh dieksploitasi. Namun, lompang tersebar dunia siber adalah pengguna itu sendiri. Maka, jadilah pengguna yang bijak.
Penafian
- Artikel ini fokus kepada aplikasi Android; tidak mengisyaratkan bahawa telefon pintar bukan Android sebagai paling selamat daripada sebarang ancaman.
- Artikel ini juga tidak mengisyaratkan telefon pintar Android sebagai tidak selamat.
- Cadangan penggunaan Google Family Link dan Google Play Protect adalah berdasarkan statusnya yang selamat semasa artikel ini ditulis.
Najib Nur Rahman
Cyber Security Researcher
