Penipuan melalui aplikasi berkas bernama Application Package File (APK) melalui layanan pesan instan seperti WhatsApp atau Telegram masih marak terjadi di masyarakat. Kebanyakan modus penipuan ini dimulai dengan pengiriman berkas APK berkedok undangan pernikahan palsu, informasi ekspedisi, hingga hingga surat tilang palsu dari kepolisian. APK tersebut kemudian dimanfaatkan oleh pelaku untuk mendapatkan akses ke data-data pribadi korban, seperti pesan singkat atau SMS, yang nantinya dapat digunakan untuk mencuri One Time Password (OTP) yang digunakan pada aplikasi penting seperti mobile banking.
Penipuan ini dimulai dengan memancing korban untuk menginstal aplikasi APK yang berisi malware. APK adalah format berkas yang digunakan untuk mendistribusikan dan memasang software dan middle-ware ke perangkat Android. Biasanya, APK tidak terdapat di toko aplikasi resmi seperti Google Playstore, oleh karena itu masyarakat diharapkan untuk lebih berhati-hati dalam menerima dan menginstal APK dari sumber yang tidak dikenal.
Menurut Teguh Aprianto, pendiri Ethical Hacker Indonesia, penipuan melalui modus APK memungkinkan pelaku untuk mendapatkan akses ke SMS korban untuk mendapatkan OTP yang diperlukan untuk mengakses aplikasi penting, seperti layanan mobile banking. Nikko Enggaliano Pratama, seorang pegiat keamanan jaringan juga menjelaskan bahwa semua data dalam pesan singkat atau SMS korban bisa tercuri jika korban menyetujui semua izin pada aplikasi APK yang mereka instal, termasuk berkas undangan pernikahan palsu. Hal ini dapat memberikan celah bagi pelaku untuk melakukan aksi kejahatan berikutnya, seperti pencurian saldo pada aplikasi M-banking.
