SAFEnet telah menerima laporan kemungkinan serangan digital melalui SMS berisi tautan (link) untuk memasang aplikasi tertentu. Pengirim SMS tersebut datang dari nomor telepon berbeda-beda termasuk perusahaan telekomunikasinya, ada Telkomsel maupun XL Axiata.
Namun, konten SMS-nya memiliki format sama: menyapa nama orang yang dikirim disertai tautan. Contohnya, “Sinta, bram kirimkan foto ke kamu. Unduh MiChat untuk melihatnya. Chat-v.com/s/7gi877.”
Contoh lain tautan yang disertakan dalam SMS tersebut adalah:• chat-v.com/s/7j6og4• chat-v.com/s/7j3oou• chat-v.com/s/7eelvh
Karena aduan-aduan tersebut, SAFEnet pun melakukan pemeriksaan seberapa berbahaya konten yang dikirimkan dalam SMS tersebut. Kami juga bekerja sama dengan AccessNow untuk memeriksanya lebih lanjut.
Berikut hasilnya.
SAFEnet melakukan pemindaian dengan dua website yaitu VirusTotal dan URLScan. Hasilnya, tautan tersebut masuk kategori aman. Kedua situs yang memindai tidak menemukan malware apapun di tautan tersebut. Situs VirusTotal mencatat beberapa tautan serupa telah didaftarkan juga.
Namun, ketika dicek dengan Sucuri.net, tingkat bahaya tautan tersebut masuk kategori sedang. Salah satunya karena dia tidak pakai https. Sucuri juga menunjukkan apa saja yang tersimpan dalam tautan tersebut.
Jika tautan itu dibuka, dia akan mengarahkan ke situs Apple Store sehingga terlihat tidak mencurigakan. Namun, ini hanyalah pengelabuan. Penelusuran lebih lanjut pada link itu mengarah ke Google Playstore untuk memasang (install) aplikasi MiChat yang bisa mengakses hampir semua konten di Andorid, termasuk WhatsApp.
Sebagai aplikasi di Android, MiChat yang sudah diinstal ini bisa mengakses perangkat Android pengguna, termasuk kamera, bluetooth, kontak, penyimpanan, pesan, jejak wifi, dan lain-lain. Namun, hal serupa juga sebenarnya bisa dilakukan aplikasi lain yang kita instal di Android kita.
Penelusuran menggunakan situs analisis risiko keamanan RiskIQ menunjukkan pendaftar situs tersebut atas nama name.com, inc dengan alamat email giester@gmail.com yang berasal dari Singapura. Alamat IP-nya di 107.155.55.60 yang ketika dibuka ternyata menjadi alamat dari banyak tautan serupa dari v-chat.com.
Tautan-tautan serupa dengan pola serupa juga menggunakan domain michat.sg dan vchat.im yang ketika dibuka lebih lanjut ternyata didaftarkan di Singapura, untuk michat.sg, dan Hong Kong untuk vhcat.im.
SAFEnet juga mengungkapan hal mencurigakan dari tautan untuk menginstall aplikasi tersebut adalah APK yang menyertainya. Ternyata ada lima APK di mana salah satunya yaitu base.apk yang ketika dicek lebih lanjut dengan situs pemindai ternyata masuk kategori merah menurut Symantec Mobile Insight seperti dikutip SAFEnet.