Ketika Coretax Menjadi Umpan: Mengungkap Spyware M-Pajak Penguras Rekening
Dibungkus dengan tampilan sederhana, aplikasi M-Pajak menyimpan ancaman siber tingkat tinggi yang mampu mengambil alih ponsel korban dan menguras rekening tanpa disadari.
KABARKALSEL.COM, BANJARMASIN - Dibungkus dengan tampilan sederhana, aplikasi M-Pajak menyimpan ancaman siber tingkat tinggi yang mampu mengambil alih ponsel korban dan menguras rekening tanpa disadari.
Dalam investigasi awal menunjukkan M-Pajak bukan sekadar penipuan digital biasa, melainkan spyware modern yang diduga dikembangkan kelompok profesional dengan infrastruktur lintas negara.
Tanpa ketelitian dan literasi yang memadai, banyak korban akan tertarik lantaran aplikasi berbahaya tersebut menggunakan nama yang identik dengan aplikasi resmi Direktorat Jenderal Pajak (DJP).
Namun alih-alih beredar di Google Play Store, pelaku menyebarkan melalui situs web palsu yang dirancang sekilas menyerupai tampilan Play Store.
"Adapun spyware M-Pajak pertama kali terdeteksi awal 2025, bertepatan dengan peluncuran sistem Coretax oleh Ditjen Pajak," papar pakar Informasi Teknologi (IT) Kalimantan Selatan, Akhmad Fakhrizal Harudiansyah, Kamis (22/01/2026).
Aktivitas malware itu meningkat signifikan dalam rentang Maret hingga April 2025. Kemudian kembali melonjak dalam tiga bulan terakhir 2025, ketika pemerintah mewajibkan Aparatur Sipil Negara (ASN) melakukan aktivasi Coretax.
“Momentum kebijakan publik, ditambah keluhan masyarakat terhadap sistem, dimanfaatkan sebagai pintu masuk rekayasa sosial,” tukas Fakhrizal.
Tak pelak tercipta kondisi ideal untuk pelaku menjalankan social engineering atau teknik manipulasi psikologis yang membuat korban bertindak tanpa berpikir kritis.
Situs Palsu
Korban umumnya menerima tautan aktivasi melalui pesan singkat atau media komunikasi lain. Tautan ini mengarah ke sebuah situs yang berpenapilan menyerupai Play Store. Akhirnya spyware M-Pajak diunduh dan dipasang.
Begitu aplikasi terpasang, spyware bekerja secara bertahap, meminta izin satu per satu hingga akhirnya memperoleh kontrol penuh atas perangkat korban.
Investigasi teknis menemukan spyware M-Pajak memiliki kemampuan yang jauh melampaui malware umum. Mulai dari merekam layar dan mengambil tangkapan layar secara diam-diam.
Kemudian mengakses seluruh file di ponsel, mengendalikan perangkat dari jarak jauh (Remote Access Trojan/RAT), hingga melakukan transaksi finansial tanpa sepengetahuan pemilik perangkat
Dalam banyak kasus, korban tetap menggunakan ponsel seperti biasa. Padahal di sisi lain perangkat telah sepenuhnya dikuasai pelaku.
Dihimpun kabarkalsel.com selama beberapa bulan terakhir, sejumlah ASN telah menjadi korban dengan kerugian mencapai puluhan hingga ratusan juta rupiah.
Malware Kelas Atas
Dari sisi teknis, sejumlah temuan memperkuat dugaan bahwa M-Pajak adalah spyware high-end alias bukan buatan amatir.
Penyebabnya aplikasi itu meminta sekitar 40 izin akses secara bertahap, dan menggunakan 48 shared library sistem Android yang sedianya tidak wajar untuk aplikasi layanan pajak
"Juga menyembunyikan payload berbahaya menggunakan native code, dan menggunakan teknik polimorfisme untuk menghindari deteksi antivirus," jelas Fakhrizal
“Struktur kode sengaja dipecah ke banyak library kecil agar sulit dianalisis dan lolos dari sistem keamanan,” sambung dosen di Politeknik Hasnur ini.
Temuan paling krusial adalah keberadaan DPT Shell. Ini merupakan sistem proteksi kode tingkat tinggi dengan lisensi mahal yang biasanya digunakan di sektor perbankan dan finansial.
Masih belum cukup, spyware M-Pajak pun dilengkapi anti-hook yang berguna mencegah intervensi tools keamanan, dan anti-VM agar aplikasi mematikan diri ketika dijalankan di emulator.
Kombinasi tersebut membuat analisis statis maupun dinamis menjadi sangat sulit, bahkan bagi analis berpengalaman.
“M-Pajak bukan malware kaleng-kaleng. Dibutuhkan waktu panjang dan perangkat khusus untuk pengungkapan lebih dalam,” tegas Fakhrizal.
Berdasarkan kompleksitas teknis dan infrastruktur yang digunakan, spyware M-Pajak diduga dikembangkan oleh kelompok terorganisir dengan model bisnis Malware-as-a-Service (MaaS).
Dalam skema tersebut, pengembang malware menyewakan kode, server cloud, dan sistem kendali kepada pihak lain. Artinya pelaku yang menyebarkan di lapangan tidak harus memiliki keahlian teknis tinggi.
Analisis lanjutan juga menemukan indikasi kode negara tertentu di certificate signing, serta penggunaan library dan layanan cloud yang mengarah ke salah satu negara di Asia. Infrastruktur ini diduga dimanfaatkan oleh aktor lokal di Indonesia.
Literasi Digital
Kasus M-Pajak menjadi peringatan keras di tengah keterbatasan literasi digital masyarakat. Ketergantungan kepada pesan instan dan kepercayaan berlebihan terhadap notifikasi resmi membuka celah besar untuk kejahatan siber.
"Semestinya masyarakat mulai menerapkan prinsip zero trust atau tidak mempercayai siapapun dengan cepat, baik berupa notifikasi, pesan, tautan, atau panggilan," tegas Fakhrizal.
Ketika harus menggunakan aplikasi, sebaiknya diunduh melalui sumber resmi. Apabila masih meragukan, masyarakat juga diminta melakukan kroscek ke kanal resmi instansi pemerintah
“Serangan M-Pajak sendiri bersifat targeted dan berbahaya. Tidak hanya kerugian finansial, dampak aplikasi ini juga berbentuk kebocoran data pribadi berskala besar,” tutup Fakhrizal.
Peringatan DJP
Kantor Wilayah Direktorat Jenderal Pajak (DJP) Kalimantan Selatan dan Tengah juga menegaskan bahwa tidak pernah meminta data rahasia wajib pajak.
"Kami tidak pernah meminta password, OTP, PIN, atau kode verifikasi, serta tidak pernah meminta transfer dana ke rekening pribadi atau perorangan," tegas Plh Kabid Penyuluhan, Pelayanan dan Humas Kanwil DJP Kalselteng, Tri Wibowo, dikutip dari Antara.
"Diimbau masyarakat untuk meningkatkan kewaspadaan terhadap berbagai bentuk penipuan yang mengatasnamakan DJP. Terlebih dalam beberapa waktu terakhir, kami menerima laporan terkait modus penipuan yang mencatut nama dan identitas DJP maupun pegawai," imbuhnya.
Beberapa modus penipuan yang terdeteksi di antaranya berpura-pura menjadi pejabat/pegawai DJP, kemudian berkomunikasi dengan wajib pajak melalui email atau pesan daring.
Biasanya isi pesan menyampaikan bahwa terdapat tagihan pajak atas wajib pajak. Lalu pelaku penipuan meminta wajib pajak untuk menyelesaikan tunggakan dengan cara mengirimkan sejumlah uang.
Selanjutnya pelaku menginstruksikan pemadanan/verifikasi data yang mengarahkan wajib pajak untuk mengakses tautan atau mengunduh aplikasi.
Sementara dikutip dari siniar DJP Kalselteng, tunggakan pajak yang dikrim email resmi bersifat pengingat, bukan tindakan penagihan aktif.
DJP juga tidak pernah mengirim file dengan ekstensi apk. Faktanya tidak tersedia aplikasi Coretax DJP yang bisa diunduh, karena akses resmi hanya melalui coretaxdjp.pajak.go.id.
⠀
Adapun situs lain seperti coretaxdjp.go.id, coretaxonline.com, coretaxdjp.co.id, pajakonline-coretax.online, hingga coretaxpelayananonline.com dipastikan palsu.
Seandainya menerima informasi atau permintaan yang mencurigakan terkait layanan administrasi perpajakan dari pihak yang mengatasnamakan DJP, wajib pajak diimbau untuk memastikan kembali kebenaran informasi.
Mulai dari menghubungi kantor pelayanan pajak terdekat atau terdaftar, menghubungi saluran pengaduan resmi melalui Kring Pajak 1500200, faksimile (021) 5251245, email pengaduan @pajak.go.id, akun Twitter/X @kring_pajak, situs pengaduan.pajak.go.id, atau live chat pada www.pajak.go.id.
