Peneliti keamanan dari ESET mengungkap kampanye penipuan masif yang menargetkan pengguna Android melalui puluhan aplikasi di toko resmi Google. Aplikasi yang dikelompokkan sebagai "CallPhantom" ini memancing pengguna dengan fitur yang melanggar privasi, seperti mengintip log panggilan, SMS, hingga riwayat pesan WhatsApp milik orang lain hanya dengan memasukkan nomor telepon.
Modus Penipuan Berkedok Akses Data Pribadi
Meskipun tampilannya beragam, skema yang dijalankan 28 aplikasi ini tetap serupa. Pengguna diminta memasukkan nomor telepon target dan membayar sejumlah biaya untuk "membuka" data komunikasi tersebut. ESET menemukan bahwa data yang ditampilkan sepenuhnya palsu, sering kali berupa nomor acak yang dipasangkan dengan nama yang sudah tertanam di dalam kode aplikasi.
Beberapa aplikasi bahkan meminta alamat email pengguna dengan janji akan mengirimkan hasil pelacakan ke sana. Menariknya, aplikasi-aplikasi ini tidak meminta izin akses (permission) yang bersifat intrusif ke sistem ponsel. Hal ini dilakukan agar aplikasi terlihat "bersih" saat melewati proses pemindaian keamanan otomatis milik Google sebelum dipublikasikan.
Risiko Finansial dan Sistem Pembayaran Ilegal
Aspek finansial menjadi bagian paling berbahaya dari skema CallPhantom ini. Beberapa aplikasi memanfaatkan sistem penagihan resmi Google Play, yang sebenarnya memungkinkan korban untuk mengajukan pengembalian dana (refund). Namun, banyak aplikasi lain yang justru mengarahkan korban ke metode pembayaran yang lebih berisiko.
- Mengarahkan pengguna ke aplikasi pembayaran pihak ketiga.
- Menyediakan formulir input kartu kredit langsung di dalam aplikasi (direct card checkout).
- Menampilkan notifikasi palsu yang menyerupai email masuk untuk meyakinkan pengguna bahwa hasil pelacakan telah tersedia.
- Memaksa pengguna kembali ke layar langganan saat mencoba keluar dari aplikasi.
Langkah Keamanan dan Penghapusan oleh Google
ESET melaporkan daftar 28 aplikasi berbahaya tersebut kepada Google pada 16 Desember. Saat laporan teknis mereka diterbitkan di WeLiveSecurity, Google telah menghapus seluruh aplikasi tersebut dari Play Store. Meski demikian, angka 7,3 juta unduhan menunjukkan betapa efektifnya narasi "spionase" untuk menjaring korban dalam skala besar.
Insiden ini mempertegas bahwa meskipun Play Store dianggap lebih aman dibandingkan proses sideloading (menginstal APK dari luar toko resmi), pengguna tetap harus waspada. Aplikasi yang menawarkan kemampuan tidak etis atau melanggar hukum, seperti menyadap komunikasi pribadi, hampir dipastikan merupakan aplikasi penipuan atau malware.
Bagi pengguna yang sempat menginstal aplikasi serupa, sangat disarankan untuk segera menghapusnya dan memeriksa riwayat langganan di akun Google Play guna membatalkan tagihan berulang yang mungkin masih aktif.
