Sebanyak 28 aplikasi di Google Play ternyata bukan alat pengintip sungguhan, melainkan jebakan yang menjual janji palsu tentang akses ke data komunikasi pribadi. Aplikasi-aplikasi ini sudah diunduh lebih dari 7,3 juta kali, sehingga kasusnya menjadi pengingat serius bahwa layanan mata-mata instan sangat berisiko bagi pengguna yang tergoda.
Peneliti keamanan siber dari ESET mengungkap temuan ini lewat laporan WeLiveSecurity dan menamai kelompok aplikasi tersebut sebagai CallPhantom. Meski tampil dengan nama dan tampilan yang berbeda-beda, pola kerjanya sama, yakni memancing orang membayar untuk data yang sebenarnya tidak pernah mereka miliki.
Modus yang terlihat meyakinkan
Skema ini dibuat sederhana agar mudah dipercaya. Pengguna diminta memasukkan nomor telepon orang yang ingin dipantau, lalu diarahkan membayar untuk membuka akses ke log panggilan, riwayat SMS, atau riwayat panggilan WhatsApp target.
Setelah pembayaran dilakukan, aplikasi tidak menampilkan data asli. ESET menemukan sebagian aplikasi justru membuat nomor telepon acak dan memasangkannya dengan nama serta informasi panggilan yang sudah tertanam di dalam kode.
Ada juga aplikasi yang meminta alamat email untuk mengirim data riwayat yang diklaim sudah dikumpulkan. Namun, ESET menegaskan aplikasi-aplikasi itu tidak benar-benar bisa mengakses data yang dijanjikan dan tidak meminta izin yang mendukung fungsi tersebut.
Korban kehilangan uang, bukan data orang lain
Kasus ini memang tidak tergolong malware yang langsung merusak perangkat. Meski begitu, dampaknya tetap nyata karena pengguna yang sudah membayar hanya kehilangan uang tanpa mendapatkan fitur yang dijanjikan.
Mekanisme pembayarannya juga beragam dan kerap membingungkan. Sebagian aplikasi memakai sistem resmi Google Play sehingga korban masih bisa mengajukan pengembalian dana, sementara yang lain mengarahkan pengguna ke aplikasi pembayaran pihak ketiga atau formulir kartu kredit di dalam aplikasi.
Dalam satu kasus, aplikasi bahkan memunculkan peringatan yang menyesatkan saat pengguna mencoba keluar. Pesan itu menyerupai email baru yang mengklaim hasil riwayat panggilan sudah tiba, lalu membawa pengguna ke layar langganan.
Sudah dilaporkan dan dihapus
ESET melaporkan 28 aplikasi itu ke Google pada 16 Desember. Setelah laporan tersebut masuk, aplikasi-aplikasi nakal itu dihapus dari Google Play Store.
Meski sudah tidak tersedia di toko aplikasi resmi, angka unduhan yang mencapai jutaan menunjukkan luasnya jangkauan penipuan ini. Kasus ini juga memperlihatkan bagaimana aplikasi dengan janji spionase memanfaatkan rasa ingin tahu pengguna untuk memancing transaksi.
Tanda yang patut dicurigai
Temuan CallPhantom menjadi pengingat bahwa aplikasi yang menjanjikan akses ke komunikasi pribadi orang lain patut dicurigai sejak awal. Jika sebuah aplikasi meminta pembayaran untuk fungsi yang secara teknis tidak masuk akal, peluang besarnya adalah jebakan.
Pengguna juga perlu berhati-hati saat diminta memasukkan nomor telepon, email, atau data pembayaran ke aplikasi yang asal-usulnya tidak jelas. Dalam kasus ini, tampilan yang meyakinkan justru dipakai untuk menutupi fakta bahwa fitur yang dijanjikan tidak pernah benar-benar ada.
