Waspada, 250 Aplikasi Android Palsu Diam-Diam Sedot Saldo Pengguna
Skema penipuan ini tergolong sangat rapi karena menggunakan teknik canggih seperti injeksi JavaScript, intersepsi kata sandi sekali pakai (One-Time Password/OTP), dan otomatisasi WebView.
Hebatnya lagi, malware ini mampu membaca kartu SIM korban dan hanya akan aktif jika mendeteksi jaringan operator seluler yang telah ditargetkan di negara tertentu, seperti Malaysia, Thailand, Rumania, dan Kroasia.
Zimperium mendeteksi aktivitas ini pertama kali pada Maret 2025, dengan puncak serangan terjadi pada September 2025, dan terus terlacak hingga Januari 2026.
Kendati demikian, laporan tersebut memperingatkan bahwa sebagian infrastruktur siber pelaku masih aktif hingga saat ini.
3 Malware Berbahaya
Para peretas diketahui menggunakan tiga varian malware berbeda untuk melancarkan aksinya:
1. Malware Pencegat OTP
Memanfaatkan taktik social engineering untuk meyakinkan pengguna bahwa mereka sedang melakukan otentikasi akun game.
Malware ini kemudian menyalahgunakan Application Programming Interface (API) penangkap SMS Google untuk mencegat OTP dan mendaftarkan korban ke portal tagihan premium.
2. Malware Pencuri Cookie
Menargetkan pengguna di Thailand melalui SMS premium tersembunyi yang berjalan di latar belakang (background WebView), serta mencuri cookie untuk mempertahankan akses ke sistem tagihan operator.
3. Malware Penipuan SMS
Varian malware ketiga menggabungkan kemampuan penipuan SMS dengan notifikasi instan via Telegram, memungkinkan pelaku memantau metrik infeksi secara real-time.
Tanggapan Google
Meski dampaknya meluas–dengan korban terbanyak berada di Malaysia (lebih dari 50%)–Google menegaskan bahwa tidak ada satu pun dari 250 aplikasi terinfeksi tersebut yang lolos ke toko resmi Google Play Store.
“Pengguna Android secara otomatis dilindungi dari varian malware yang dikenali melalui Google Play Protect. Sistem keamanan ini aktif secara default pada perangkat Android dengan Google Play Services,” ujar juru bicara Google, mengutip laporan Dark Reading.
Namun, para pakar siber menilai bantahan tersebut tidak menyelesaikan akar masalah. Modus ini justru mempertegas rapuhnya ekosistem keamanan aplikasi digital, terutama ketika pengguna mengunduh aplikasi dari pihak ketiga (di luar toko resmi).
Kasus pemanfaatan fitur resmi seperti SMS Retriever dan CookieManager API membuktikan bahwa kontrol keamanan platform saat ini gagal mengimbangi kreativitas para pelaku kriminal siber.
Para ahli mendesak adanya evaluasi menyeluruh terhadap kerangka kerja keamanan aplikasi secara global agar kasus serupa tidak terus berulang.
