Sebanyak 28 aplikasi palsu yang sempat beredar di Google Play ternyata sudah diunduh lebih dari 7,3 juta kali. Aplikasi-aplikasi ini mengaku bisa mengintip riwayat panggilan, SMS, hingga log WhatsApp, padahal klaim tersebut tidak didukung kemampuan teknis yang nyata.
Temuan itu datang dari peneliti keamanan siber ESET yang mengelompokkan aplikasi tersebut ke dalam jaringan bernama CallPhantom. Meski tampil meyakinkan di toko resmi, aplikasi-aplikasi itu justru menyajikan data palsu agar pengguna merasa sedang melihat informasi orang lain secara nyata.
Tampilan sederhana, klaim besar
Salah satu hal yang membuat aplikasi ini lolos perhatian pengguna adalah tampilannya yang sederhana. Mereka juga tidak meminta izin akses sensitif, sehingga pada pandangan awal terlihat aman dan tidak mencurigakan.
Namun, di balik tampilan itu, fungsi yang dijanjikan hanya ilusi. Lukas Stefanko dari ESET menjelaskan bahwa data “riwayat panggilan” yang muncul di dalam aplikasi dibuat-buat dan tidak berasal dari hasil pengintaian sungguhan.
Aplikasi tersebut menghasilkan nomor telepon secara acak. Nomor itu lalu dipasangkan dengan nama tetap, waktu panggilan, dan durasi yang sudah tertanam di dalam kode.
Berawal dari unggahan Reddit
Penelusuran ESET bermula dari sebuah unggahan di Reddit yang membahas aplikasi bernama Call History of Any Number di Google Play. Dari titik itu, analisis berkembang dan menemukan jaringan aplikasi serupa dengan pola penipuan yang sama.
Kelompok CallPhantom tidak hanya menjual rasa penasaran, tetapi juga mendorong pengguna membayar untuk membuka fitur yang diklaim bisa menampilkan data sensitif. Masalahnya, informasi yang ditampilkan tetap berupa angka dan detail acak yang dibuat otomatis.
Sasar pengguna di India dan Asia Pasifik
ESET menilai kelompok aplikasi ini terutama menyasar pengguna Android di India dan kawasan Asia Pasifik. Pada beberapa aplikasi, sistem otomatis menampilkan kode negara India +91, yang menguatkan dugaan bahwa pembuatnya memang membidik pasar tertentu.
Sejumlah aplikasi juga mendukung pembayaran UPI, metode yang umum digunakan di India. Kombinasi tampilan lokal dan metode pembayaran yang akrab dipakai pengguna membuat aplikasi terlihat lebih meyakinkan dibandingkan aplikasi palsu pada umumnya.
Skema pembayaran yang beragam
Dalam analisisnya, ESET menemukan tiga metode pembayaran yang digunakan pengembang. Sebagian aplikasi memakai Google Play Billing, sementara yang lain mengandalkan pembayaran pihak ketiga atau formulir kartu yang langsung muncul di dalam aplikasi.
Dua dari tiga metode itu disebut melanggar kebijakan pembayaran Google Play. Biaya langganan yang ditawarkan pun beragam, mulai dari paket mingguan, bulanan, hingga tahunan, dengan harga tertinggi mencapai US$80.
Sementara itu, rata-rata harga paket berlangganan terendah berada di kisaran €5. Skema ini dibuat untuk memancing rasa penasaran pengguna yang ingin mencoba fitur pengintipan palsu tersebut.
Sudah dihapus dari Google Play
Sebagai mitra App Defense Alliance, ESET melaporkan temuan itu kepada Google. Setelah laporan diterima, seluruh aplikasi yang teridentifikasi dalam kelompok CallPhantom dihapus dari Google Play.
ESET juga menyebut bahwa langganan yang dibeli lewat sistem resmi Google Play pada umumnya masih bisa dibatalkan. Untuk 28 aplikasi yang sudah dihapus, langganan aktif ikut dibatalkan secara otomatis, dan dalam beberapa kasus pengguna juga berpeluang menerima pengembalian dana.
Kondisi berbeda berlaku jika pembayaran dilakukan di luar Google Play. Jika pengguna memasukkan detail kartu langsung ke aplikasi atau membayar lewat layanan pihak ketiga, Google tidak dapat membatalkan langganan maupun memproses pengembalian dana.
Kasus ini menunjukkan bahwa keberadaan aplikasi di toko resmi tidak otomatis membuatnya aman. Klaim yang terdengar terlalu jauh, metode pembayaran yang tidak wajar, dan fungsi yang tidak masuk akal tetap perlu menjadi tanda peringatan bagi pengguna Android.
Source: teknologi.bisnis.com