Yang membuat 28 aplikasi ini berbahaya bukan sekadar karena mereka palsu, melainkan karena tampil meyakinkan di toko resmi dan sudah terunduh lebih dari 7,3 juta kali. Banyak pengguna bisa saja tertarik karena aplikasi tersebut mengaku mampu mengintip riwayat panggilan, SMS, hingga log WhatsApp.
Peneliti keamanan siber dari ESET menemukan kelompok aplikasi ini dan menamakannya CallPhantom. Setelah dilaporkan, seluruh aplikasi yang teridentifikasi dalam kelompok itu akhirnya dihapus dari Google Play.
Janji besar, fungsi kosong
Aplikasi-aplikasi CallPhantom memancing pengguna untuk membayar agar fitur yang dijanjikan bisa dibuka. Masalahnya, data yang ditampilkan bukan hasil pengintaian nyata, melainkan rangkaian angka dan informasi acak yang dibuat otomatis.
Lukas Stefanko dari ESET menjelaskan bahwa data riwayat panggilan yang muncul di dalam aplikasi sebenarnya dibuat-buat. Aplikasi menghasilkan nomor telepon secara acak, lalu memasangkannya dengan nama tetap, waktu panggilan, dan durasi yang sudah tertanam di dalam kode.
Tampak sederhana agar terlihat aman
ESET menilai desain aplikasi-aplikasi ini sengaja dibuat sederhana. Mereka juga tidak meminta izin akses sensitif, sehingga pada pandangan pertama terlihat tidak berbahaya.
Justru pola seperti itulah yang membuatnya tampak lebih aman dibanding aplikasi penipu lain. Padahal, klaim utamanya tentang pengintaian WhatsApp dan SMS tidak didukung kemampuan teknis yang nyata.
Sasaran utama pengguna di India dan Asia Pasifik
ESET menilai kelompok aplikasi ini terutama menyasar pengguna Android di India dan kawasan Asia Pasifik. Pada sejumlah aplikasi, sistem bahkan otomatis menampilkan kode negara India +91.
Tanda lain yang memperkuat sasaran itu adalah dukungan pembayaran UPI yang umum dipakai di India. Kombinasi tampilan lokal dan metode pembayaran yang akrab membuat aplikasi terlihat lebih meyakinkan.
Skema pembayaran ikut dibuat berlapis
Dalam analisisnya, ESET menemukan tiga metode pembayaran yang dipakai pengembang. Sebagian aplikasi menggunakan Google Play Billing, sementara yang lain memakai pembayaran pihak ketiga atau formulir kartu yang langsung muncul di dalam aplikasi.
ESET menyebut dua dari tiga metode itu melanggar kebijakan pembayaran Google Play. Biaya langganannya juga dibuat bertingkat, mulai dari paket mingguan, bulanan, hingga tahunan, dengan harga tertinggi mencapai US$80.
Di sisi lain, rata-rata harga paket berlangganan terendah berada di kisaran €5. Pola ini menunjukkan aplikasi tidak hanya memancing rasa penasaran, tetapi juga mengarah langsung pada pembayaran.
Berawal dari satu temuan di Reddit
Penelusuran kasus ini bermula dari unggahan di Reddit yang membahas aplikasi bernama Call History of Any Number di Google Play. Dari sana, ESET memperluas analisis dan menemukan jaringan aplikasi serupa dengan pola klaim yang sama.
Sebagai mitra App Defense Alliance, ESET kemudian melaporkan temuan itu kepada Google. Setelah laporan diterima, seluruh aplikasi dalam kelompok CallPhantom dihapus dari Google Play.
ESET juga menjelaskan bahwa langganan yang dibeli lewat sistem resmi Google Play pada umumnya masih bisa dibatalkan. Untuk 28 aplikasi yang sudah dihapus, langganan aktif ikut dibatalkan otomatis, dan dalam beberapa kasus pengguna juga berpeluang menerima pengembalian dana.
Kondisi berbeda terjadi jika pembayaran dilakukan di luar Google Play. Jika pengguna memasukkan detail kartu langsung ke aplikasi atau membayar lewat layanan pihak ketiga, Google tidak dapat membatalkan langganan maupun memproses pengembalian dana.
Source: teknologi.bisnis.com-
-
-
-
