<![CDATA[One-Time Password (OTP) yang mendominasi bidang otentikasi pengguna selama dekade terakhir, merupakan musuh utama bagi setiap penyerang yang mencoba mengakses sensitif informasi. Pakar keamanan khawatir bahwa spoofing pesan SMS dan serangan man-in-the-middle (MITM) dapat digunakan untuk merusak sistem 2FA yang mengandalkan one-time password. Pencurian OTP dapat dilakukan dengan berbagai saluran serangan, salah satunya adalah akses fisik ke perangkat, yakni malware seluler yang mencuri pesan SMS OTP. Serangan telepon seluler dapat dilakukan juga melalui micro-USB dengan menggunakan tampilan antar muka yang umum pada port micro-USB pada telepon seluler. Tujuan dari penelitian ini adalah untuk mengimplementasikan serangan SMS-based OTP stealing attack pada aplikasi Android menggunakan Digispark Attiny85. Metode yang digunakan menggunakan Software Development Lifecycle dengan pendekatan extreme programming. Pada penelitian ini, penulis membuat dua buah skenario penyerangan untuk mencuri OTP berbasis SMS milik korban. Skenario live attack beroperasi dengan memanfaatkan injeksi langsung Digispark Attiny85 ke device korban, sedangkan skenario remote attack memanfaatkan malware yang diunduh melalui script yang diinjeksikan dari Digispark Attiny85. Pengujian menggunakan metode path testing untuk pengujian hardware dan scenario testing untuk pengujian software. Pengujian skenario diterapkan pada beberapa aplikasi antara lain aplikasi mobile banking, dompet digital, instant messaging, dan e-commerce. Hasil penelitian menunjukkan keberhasilan implementasi dari SMS-based OTP Stealing Attack berbasis SMS dalam mengambil OTP akun dari beberapa aplikasi Android korban terbukti dari hasil path testing dan scenario testing.]]>
