Sumbawanews.com,- Riset terbaru dari firma keamanan siber Zimperium mengungkapkan operasi penipuan digital berskala besar yang memanfaatkan hampir 250 aplikasi Android palsu untuk secara diam-diam menguras saldo pengguna melalui langganan premium yang tidak diminta. Aplikasi-aplikasi ini menyamar sebagai platform populer—mulai dari TikTok, Minecraft, hingga Instagram Threads dan Facebook Messenger—dengan tampilan yang hampir identik dengan versi aslinya, sehingga sulit dibedakan oleh pengguna biasa.
Modus operandi para pelaku sangat canggih. Mereka memanfaatkan teknik injeksi JavaScript, intersepsi One-Time Password (OTP), dan otomatisasi WebView untuk mengakses fitur sistem Android yang seharusnya aman, seperti API SMS Retriever dan CookieManager. Dengan cara ini, aplikasi jahat mampu membaca pesan teks berisi kode verifikasi, lalu secara otomatis mendaftarkan korban ke layanan berlangganan berbayar yang langsung memotong pulsa atau tagihan operator seluler.
Yang lebih mengkhawatirkan, malware ini bersifat selektif. Ia hanya aktif jika mendeteksi kartu SIM dari operator tertentu di negara-negara target, yaitu Malaysia, Thailand, Rumania, dan Kroasia. Penelitian menunjukkan bahwa lebih dari 50% korban berasal dari Malaysia, dengan puncak serangan terjadi pada September 2025 dan terus berlanjut hingga Januari 2026. Hingga kini, sebagian infrastruktur serangan masih aktif.
Tiga varian malware utama digunakan dalam operasi ini. Pertama, malware pencegat OTP yang memanfaatkan social engineering untuk memicu pengguna memasukkan kode verifikasi, lalu menyalahgunakan izin akses SMS untuk mendaftarkan langganan. Kedua, malware pencuri cookie yang menargetkan pengguna Thailand dengan menjalankan proses tagihan tersembunyi di latar belakang WebView, sekaligus mencuri sesi login untuk mempertahankan akses. Ketiga, malware penipuan SMS yang mengintegrasikan notifikasi real-time via Telegram, memungkinkan pelaku memantau tingkat keberhasilan infeksi secara langsung.
Google menegaskan bahwa tidak ada satupun dari 250 aplikasi ini yang pernah tersedia di Google Play Store. Menurut perwakilan perusahaan, sistem keamanan Google Play Protect yang aktif secara default telah melindungi pengguna dari varian malware yang sudah dikenali. Namun, para ahli keamanan siber menilai pernyataan ini sebagai bentuk pembenaran yang menghindari tanggung jawab sistemik. Pasalnya, serangan ini justru mengeksploitasi celah pada fitur resmi Android yang seharusnya diawasi ketat—bukan karena kegagalan pengguna, melainkan karena lemahnya pengawasan terhadap akses API kritis.
“Ini bukan soal pengguna yang ceroboh. Ini soal ekosistem yang gagal melindungi,” ujar seorang pakar keamanan siber yang meminta tidak disebutkan namanya. “Platform seperti Android memberi akses terlalu luas kepada aplikasi pihak ketiga tanpa pengawasan yang memadai. Para penjahat tidak lagi mencari celah teknis—mereka memanfaatkan fitur yang sah, tapi disalahgunakan.”
Para ahli mendesak agar Google, para pengembang, dan regulator di seluruh dunia segera merevisi kerangka kebijakan akses API, memperketat audit aplikasi yang mengandalkan izin SMS, OTP, dan penyimpanan cookie, serta meningkatkan edukasi publik tentang risiko mengunduh aplikasi dari sumber di luar toko resmi. Tanpa langkah tegas, serangan semacam ini akan terus berkembang—dan korban akan terus membayar dengan uang, pulsa, dan kepercayaan mereka.
