Hati-Hati, Modus Malware Aplikasi M Pajak
Modus penipuan atau penyebaran malware berkedok "M-Pajak" atau dokumen perpajakan lainnya merupakan variasi dari serangan social engineering yang sangat marak di Indonesia. Penjahat siber memanfaatkan momentum pelaporan SPT tahunan atau ketakutan masyarakat terhadap urusan hukum/pajak untuk mengelabui korban.
Berikut adalah anatomi dan modus operandi bagaimana malware ini bekerja serta cara mengantisipasinya:
1. Media Penyebaran (Vektor Serangan)
Penyerang biasanya tidak langsung mengirimkan file lewat aplikasi resmi, melainkan menggunakan jalur personal:
Pesan WhatsApp / SMS: Korban menerima pesan dari nomor tidak dikenal yang mengaku sebagai petugas Direktorat Jenderal Pajak (DJP) atau sistem otomatis perpajakan.
Email Phishing: Menggunakan alamat email yang dipalsukan (spoofing) agar terlihat mirip dengan email resmi DJP (misalnya menggunakan domain tiruan).
2. Narasi atau Alasan (Hook)
Untuk memancing psikologis korban agar panik atau penasaran, peretas menggunakan beberapa narasi ini:
Tagihan Pajak Kurang Bayar: Mengatakan bahwa korban memiliki tunggakan atau kurang bayar pajak yang harus segera dilunasi agar tidak didenda.
Surat Teguran / Teguran Konfirmasi: Mengirimkan berkas yang diklaim sebagai "Surat Teguran Pajak" atau "Undangan Klarifikasi SPT".
Pembaruan Aplikasi M-Pajak: Meminta korban mengunduh versi terbaru dari aplikasi M-Pajak melalui tautan (link) eksternal yang diberikan, bukan dari Google Play Store atau App Store.
3. Eksekusi Payload (Malware)
Ketika korban terpancing, modus eksekusinya biasanya berupa:
File APK Palsu (Android): Penipu mengirimkan file dengan nama seperti
Surat_Teguran_Pajak.apkatauM-Pajak_Update.apk. Seringkali mereka memanipulasi ekstensi visual (misalnya mengubah ikon file agar terlihat seperti dokumen PDF atau gambar) untuk mengecoh pengguna awam.Link Phishing Ke Unduhan Eksternal: Menyertakan link yang mengarah ke situs web tiruan yang otomatis mengunduh file berbahaya ke perangkat korban.
Jenis Malware dan Dampaknya setelah Terinstal
Jika korban menginstal file APK tersebut dan memberikan Izin Akses (Permissions) yang diminta (seperti akses SMS, Kontak, dan Aksesibilitas), jenis malware yang biasanya aktif adalah Banking Trojan atau SMS Sniffer. Dampaknya meliputi:
Pencurian OTP (One-Time Password): Malware akan membaca, meneruskan (forward), dan menghapus SMS masuk tanpa sepengetahuan korban. Ini digunakan untuk membobol m-banking, e-wallet, atau akun e-commerce.
Credential Stealing: Mencuri data kredensial (username dan password) yang diketikkan korban saat membuka aplikasi keuangan.
Pengambilalihan Perangkat: Melalui fitur Accessibility Service, malware bisa melakukan klik otomatis atau membaca layar (screen scraping) untuk mem bypass sistem keamanan.
Cara Membedakan dan Langkah Mitigasi
Sebagai langkah proteksi, penting untuk mengenali batasan komunikasi resmi dari DJP:
Saluran Resmi: DJP hanya mengirimkan email resmi menggunakan domain
@pajak.go.id. Jika menerima email dari Gmail, Yahoo, atau domain mirip tetapi bukan.go.id, itu adalah phishing.Aplikasi Resmi: Aplikasi M-Pajak yang resmi hanya tersedia dan aman diunduh melalui Google Play Store (Android) dan App Store (iOS). DJP tidak pernah membagikan file instalasi aplikasi secara langsung lewat WhatsApp.
Format Dokumen: Surat resmi dari DJP biasanya dikirimkan lewat pos atau dapat diunduh langsung setelah Anda login di portal resmi djponline.pajak.go.id. Format digitalnya adalah PDF asli, bukan file executable atau APK.
Matikan "Unknown Sources": Pastikan pengaturan ponsel Android Anda memblokir instalasi aplikasi dari sumber yang tidak dikenal (Install Unknown Apps ditiadakan untuk WhatsApp/Browser).