Dua puluh delapan aplikasi di Google Play ternyata hanya menjual ilusi, bukan kemampuan mengintip data komunikasi pribadi orang lain. Aplikasi-aplikasi itu sudah diunduh lebih dari 7,3 juta kali, sehingga kasus ini menjadi peringatan besar bagi pengguna yang tergoda layanan mata-mata instan.
Temuan itu diungkap peneliti keamanan siber dari ESET melalui laporan WeLiveSecurity. Kelompok aplikasi tersebut diberi nama CallPhantom karena punya pola kerja yang serupa meski tampil dengan nama dan tampilan berbeda-beda.
Janji yang terlihat meyakinkan
Skemanya dibuat sederhana agar mudah dipercaya. Pengguna diminta memasukkan nomor telepon target, lalu diarahkan membayar untuk membuka akses ke log panggilan, riwayat SMS, atau riwayat panggilan WhatsApp.
Setelah pembayaran dilakukan, data asli tidak pernah muncul. ESET menemukan sebagian aplikasi justru membuat nomor telepon acak dan menempelkan nama serta informasi panggilan yang sudah tertanam di dalam kode.
Ada juga aplikasi yang meminta alamat email pengguna untuk mengirim data riwayat yang diklaim sudah dikumpulkan. Namun, ESET menegaskan aplikasi-aplikasi itu tidak benar-benar bisa mengakses data yang dijanjikan dan tidak meminta izin yang mendukung fungsi tersebut.
Korban yang sebenarnya hanya kehilangan uang
Kasus ini tidak masuk kategori malware yang langsung merusak perangkat. Meski begitu, dampaknya tetap nyata karena pengguna yang sudah membayar hanya kehilangan uang tanpa mendapatkan fitur yang dijanjikan.
Mekanisme pembayaran yang dipakai juga beragam dan kerap membingungkan. Sebagian aplikasi menggunakan sistem resmi Google Play sehingga korban masih bisa mengajukan pengembalian dana.
Sebagian lain mengarahkan pengguna ke aplikasi pembayaran pihak ketiga atau formulir kartu kredit di dalam aplikasi. Dalam satu kasus, aplikasi bahkan menampilkan peringatan yang menyesatkan saat pengguna mencoba keluar.
Pesan itu dibuat menyerupai email baru yang mengklaim hasil riwayat panggilan sudah tiba. Setelah itu, pengguna justru dibawa ke layar langganan.
Sudah dihapus dari Google Play
ESET melaporkan 28 aplikasi tersebut ke Google pada 16 Desember. Setelah laporan itu masuk, aplikasi-aplikasi nakal tersebut dihapus dari Google Play Store.
Walau kini tidak lagi tersedia di toko aplikasi resmi, jumlah unduhan yang mencapai jutaan menunjukkan seberapa luas jangkauan penipuannya. Kasus ini juga memperlihatkan bagaimana janji spionase dimanfaatkan untuk memancing rasa penasaran dan transaksi.
Temuan CallPhantom menjadi pengingat bahwa aplikasi yang menawarkan akses ke komunikasi pribadi orang lain patut dicurigai sejak awal. Jika sebuah aplikasi meminta pembayaran untuk fungsi yang secara teknis tidak masuk akal, peluang besar itu hanyalah jebakan.
Pengguna juga perlu berhati-hati saat diminta memasukkan nomor telepon, alamat email, atau data pembayaran ke aplikasi yang asal-usulnya tidak jelas. Dalam kasus ini, tampilan yang meyakinkan justru dipakai untuk menutupi fakta bahwa fitur yang dijanjikan tidak pernah benar-benar ada.
Source: www.cnbcindonesia.com