Dengan banyaknya kasus aplikasi palsu di toko aplikasi resmi kembali menjadi ancaman serius bagi pengguna Android. Baru-baru ini, puluhan aplikasi penipuan yang beredar di Google Play Store tercatat telah menjebak jutaan pengguna dengan iming-iming dapat mengakses riwayat panggilan, SMS, hingga log WhatsApp dari nomor telepon tertentu. Faktanya, aplikasi tersebut hanya digunakan untuk menipu pengguna agar membayar biaya langganan tanpa memperoleh layanan yang dijanjikan. Kasus ini diungkap oleh perusahaan keamanan siber asal Slovakia, ESET, yang menamai operasi tersebut “CallPhantom”. Dalam laporannya, ESET menemukan 28 aplikasi palsu berhasil lolos ke Google Play Store dan diunduh lebih dari 7,3 juta kali sebelum akhirnya dihapus oleh Google. Bahkan, salah satu aplikasinya tercatat memperoleh lebih dari 3 juta unduhan sendiri.
Peristiwa ini memperlihatkan bahwa ancaman siber kini tidak hanya berasal dari aplikasi ilegal di luar toko resmi, tetapi juga dapat menyusup ke platform resmi yang selama ini dianggap aman oleh banyak pengguna Android. Peneliti keamanan ESET, Lukáš Štefanko, menjelaskan bahwa aplikasi-aplikasi tersebut menawarkan fitur yang tampak menarik dan sensasional. Pengguna dijanjikan dapat melihat detail riwayat panggilan, SMS, hingga aktivitas WhatsApp milik nomor telepon tertentu hanya dengan memasukkan nomor target ke aplikasi. Faktanya, seluruh klaim tersebut hanyalah tipuan. Setelah nomor dimasukkan, pengguna diminta melakukan pembayaran agar data dapat diakses. Korban kemudian diarahkan membeli paket langganan atau membayar langsung melalui berbagai metode pembayaran digital. Usai pembayaran dilakukan, aplikasi hanya menampilkan informasi palsu berupa nama dan nomor acak yang sebenarnya sudah tertanam di dalam kode aplikasi. Dengan kata lain, aplikasi itu sama sekali tidak mengambil data dari operator seluler, WhatsApp, maupun sumber komunikasi lain.
Beberapa aplikasi yang terlibat dalam penipuan ini menggunakan nama yang terdengar meyakinkan, seperti “Call History of Any Number”, “Phone Call History Tracker”, dan “Call History Pro”. Nama-nama tersebut sengaja dibuat agar mudah ditemukan pengguna saat mencari aplikasi terkait riwayat panggilan di Play Store. Mirisnya lagi, salah satu aplikasi bahkan memakai nama pengembang “Indian gov.in” untuk menciptakan kesan seolah berasal dari lembaga resmi pemerintah India. Cara ini digunakan guna meningkatkan kepercayaan pengguna dan memperbesar kemungkinan aplikasi diunduh. Menurut ESET, indikasi yang ditemukan menunjukkan operasi penipuan ini kemungkinan sudah berjalan sejak November 2025 dan terutama menyasar pengguna Android di India serta kawasan Asia-Pasifik.
Dalam modus lain, beberapa aplikasi meminta alamat email pengguna dengan alasan hasil pencarian riwayat panggilan akan dikirim melalui email. Namun seperti pola sebelumnya, data tidak akan diberikan sebelum korban membayar sejumlah biaya. Metode pembayaran yang digunakan juga beragam. Sebagian aplikasi memanfaatkan sistem langganan resmi Google Play Store, sedangkan lainnya memakai layanan pembayaran pihak ketiga berbasis UPI yang populer di India, seperti Google Pay, PhonePe, dan Paytm. Ada pula aplikasi yang menyediakan formulir pembayaran kartu kredit langsung di dalam aplikasi. Praktik ini dinilai melanggar kebijakan keamanan Google karena transaksi dilakukan di luar sistem resmi Play Store.
Skema penipuannya pun dirancang sangat manipulatif. Dalam salah satu kasus, pengguna yang mencoba menutup aplikasi tanpa membayar akan menerima notifikasi palsu yang menyebutkan bahwa data riwayat panggilan telah dikirim ke email mereka. Saat notifikasi ditekan, pengguna langsung diarahkan ke halaman pembayaran langganan. Biaya yang dipasang bervariasi, mulai sekitar 6 dolar AS hingga 80 dolar AS atau lebih dari satu juta rupiah, tergantung paket yang dipilih. Menariknya, aplikasi-aplikasi tersebut tidak meminta izin akses sensitif seperti membaca SMS, daftar kontak, maupun log panggilan perangkat. Hal ini membuat banyak pengguna tidak curiga karena aplikasi terlihat aman dari sisi perizinan. Padahal, menurut ESET, aplikasi itu memang tidak memiliki kemampuan teknis untuk mengambil data panggilan, SMS, maupun WhatsApp. Seluruh sistemnya hanyalah skema penipuan berbasis pembayaran dengan data palsu sebagai umpan.
ESET menambahkan bahwa pengguna yang membayar melalui sistem resmi Google Play masih berpeluang mengajukan refund sesuai kebijakan Google. Namun bagi mereka yang melakukan pembayaran lewat layanan pihak ketiga atau kartu kredit langsung, proses pengembalian dana kemungkinan akan lebih sulit. Kasus ini menjadi pengingat bahwa keberadaan aplikasi di toko resmi tidak selalu menjamin keamanan sepenuhnya. Pengguna tetap harus waspada terhadap aplikasi yang menawarkan fitur tidak masuk akal, terutama yang berkaitan dengan akses terhadap data pribadi orang lain.
Di sisi lain, perusahaan keamanan siber Group-IB juga mengungkap kampanye penipuan lain yang menargetkan pengguna di Indonesia. Dalam laporan terbarunya, para pelaku disebut berhasil mencuri sekitar 2 juta dolar AS dari korban di Indonesia melalui aplikasi dan situs palsu. Penipuan tersebut dilakukan dengan menyamar sebagai platform pajak Indonesia CoreTax serta berbagai merek terpercaya lainnya. Kampanye ini dikaitkan dengan kelompok ancaman siber bernama GoldFactory yang dikenal aktif melakukan pencurian finansial berbasis malware. Serangan dilakukan melalui berbagai cara, mulai dari situs phishing, rekayasa sosial lewat WhatsApp, instalasi APK berbahaya, hingga penipuan telepon atau voice phishing. Korban biasanya diarahkan mengunduh aplikasi Android palsu yang diam-diam memasang malware berbahaya di perangkat mereka.
Beberapa malware yang ditemukan dalam operasi tersebut di antaranya Gigabud RAT, MMRat, dan Taotie. Malware ini mampu mencuri data sensitif, mengambil alih akun pengguna, hingga menjalankan transaksi keuangan tanpa persetujuan korban. Group-IB menyebut infrastruktur serangan tersebut tidak hanya digunakan untuk meniru satu layanan saja. Para pelaku diketahui telah menyalahgunakan lebih dari 16 merek terpercaya dan menargetkan populasi Indonesia yang mencapai sekitar 287 juta jiwa. Maraknya kasus seperti ini menunjukkan bahwa kejahatan siber semakin berkembang dengan memanfaatkan rasa penasaran dan kelengahan pengguna. Karena itu, pengguna Android disarankan selalu memeriksa reputasi pengembang aplikasi, membaca ulasan dengan teliti, serta menghindari aplikasi yang menawarkan fitur berlebihan atau tidak masuk akal serta tidak sembarangan memberikan data pribadi maupun melakukan pembayaran pada aplikasi yang belum jelas kredibilitasnya, meskipun aplikasi tersebut tersedia di toko resmi seperti Google Play Store.
Sumber: https://csirt.or.id/
