Puluhan aplikasi palsu yang mengaku bisa mengintip riwayat panggilan, SMS, hingga log WhatsApp ternyata sempat lolos ke Google Play dan diunduh lebih dari 7,3 juta kali. Temuan ini menyoroti bagaimana aplikasi dengan janji yang terdengar sensitif justru bisa tampil meyakinkan di toko resmi.
Peneliti keamanan siber dari ESET menemukan 28 aplikasi dalam kelompok yang mereka sebut CallPhantom. Aplikasi-aplikasi itu meminta pengguna membayar untuk membuka fitur yang dijanjikan, padahal data yang ditampilkan hanya rangkaian angka dan informasi acak yang dibuat otomatis.
Tampak sederhana, tetapi menipu
ESET menjelaskan bahwa aplikasi CallPhantom memakai antarmuka sederhana dan tidak meminta izin akses sensitif. Pola seperti ini membuatnya terlihat aman pada pandangan pertama, meski klaim utamanya tidak didukung kemampuan teknis yang nyata.
Lukas Stefanko dari ESET menyebut data “riwayat panggilan” yang muncul di dalam aplikasi dibuat-buat. Aplikasi menghasilkan nomor telepon secara acak, lalu memasangkannya dengan nama tetap, waktu panggilan, dan durasi yang sudah tertanam di dalam kode.
Temuan ini berawal dari penelusuran sebuah unggahan di Reddit yang membahas aplikasi bernama Call History of Any Number di Google Play. Dari sana, analisis berkembang dan mengarah ke jaringan aplikasi serupa dengan janji pengintaian digital yang menyesatkan.
Menargetkan pengguna di India dan Asia Pasifik
ESET menilai kelompok aplikasi ini terutama menyasar pengguna Android di India dan kawasan Asia Pasifik. Pada sejumlah aplikasi, sistem bahkan otomatis menampilkan kode negara India +91, yang menjadi tanda kuat bahwa pembuatnya menargetkan pasar tertentu.
Beberapa aplikasi juga mendukung pembayaran UPI yang umum digunakan di India. Kombinasi tampilan lokal dan metode pembayaran yang akrab dipakai pengguna membuat aplikasi terlihat lebih meyakinkan dibandingkan aplikasi palsu pada umumnya.
Skema pembayaran yang memancing rasa penasaran
Dalam analisisnya, ESET menemukan tiga metode pembayaran yang dipakai pengembang. Sebagian aplikasi memakai Google Play Billing, sementara yang lain mengandalkan pembayaran pihak ketiga atau formulir kartu yang langsung muncul di dalam aplikasi.
ESET menyebut dua dari tiga metode tersebut melanggar kebijakan pembayaran Google Play. Biaya langganan yang ditawarkan juga beragam, mulai dari paket mingguan, bulanan, hingga tahunan.
Harga tertinggi untuk layanan palsu itu mencapai US$80. Sementara itu, rata-rata harga paket berlangganan terendah berada di kisaran €5.
Sudah dihapus dari Google Play
Sebagai mitra App Defense Alliance, ESET melaporkan temuan itu kepada Google. Setelah laporan diterima, seluruh aplikasi yang teridentifikasi dalam kelompok CallPhantom dihapus dari Google Play.
ESET juga menjelaskan bahwa langganan yang dibeli lewat sistem resmi Google Play pada umumnya masih bisa dibatalkan. Untuk 28 aplikasi yang sudah dihapus, langganan aktif ikut dibatalkan secara otomatis, dan dalam beberapa kasus pengguna juga berpeluang menerima pengembalian dana.
Kondisi berbeda berlaku jika pembayaran dilakukan di luar Google Play. Jika pengguna memasukkan detail kartu langsung ke aplikasi atau membayar lewat layanan pihak ketiga, Google tidak dapat membatalkan langganan maupun memproses pengembalian dana.
Kasus ini menunjukkan bahwa aplikasi di toko resmi pun tidak selalu aman hanya karena hadir di Google Play. Klaim yang terdengar terlalu jauh, metode pembayaran yang tidak wajar, dan fungsi aplikasi yang tidak masuk akal tetap perlu menjadi sinyal peringatan bagi pengguna.
