Aplikasi Palsu di Play Store Tipu 7,3 Juta Pengguna Android

Maraknya aplikasi palsu di toko aplikasi resmi kembali menjadi ancaman serius bagi pengguna Android. Kali ini, puluhan aplikasi penipuan yang beredar di Google Play Store diketahui telah menipu jutaan pengguna dengan janji palsu dapat melihat riwayat panggilan telepon, SMS, hingga log panggilan WhatsApp dari nomor mana pun. Alih-alih memberikan layanan seperti yang diiklankan, aplikasi tersebut justru digunakan untuk menguras uang pengguna melalui sistem langganan berbayar.

Temuan ini diungkap oleh perusahaan keamanan siber asal Slovakia, ESET, yang memberi nama operasi penipuan tersebut sebagai “CallPhantom”. Berdasarkan laporan mereka, sebanyak 28 aplikasi palsu berhasil masuk ke Google Play Store dan telah diunduh lebih dari 7,3 juta kali sebelum akhirnya dihapus oleh Google. Salah satu aplikasi bahkan mencatatkan lebih dari 3 juta unduhan secara individual.

Fenomena ini menunjukkan bahwa ancaman siber kini tidak lagi hanya datang dari aplikasi ilegal di luar toko resmi, tetapi juga mampu menyusup ke platform resmi yang selama ini dianggap aman oleh banyak pengguna Android.

Peneliti keamanan ESET, Lukáš Štefanko, menjelaskan bahwa aplikasi-aplikasi tersebut menawarkan fitur yang terdengar menarik dan sensasional. Pengguna dijanjikan bisa mengetahui detail riwayat panggilan, SMS, hingga aktivitas komunikasi WhatsApp dari nomor telepon mana saja hanya dengan memasukkan nomor target ke dalam aplikasi.

Namun pada kenyataannya, fitur tersebut sama sekali tidak pernah ada.

Setelah pengguna memasukkan nomor telepon yang ingin diperiksa, aplikasi akan meminta pembayaran agar data bisa dibuka. Korban kemudian diarahkan untuk membeli paket langganan atau melakukan pembayaran langsung melalui berbagai metode pembayaran digital.

Setelah transaksi selesai dilakukan, aplikasi hanya menampilkan data palsu berupa nama dan nomor telepon acak yang sebenarnya sudah ditanamkan langsung di dalam kode aplikasi. Artinya, aplikasi itu tidak pernah benar-benar mengambil data dari server operator, WhatsApp, maupun sumber komunikasi lainnya.

Beberapa aplikasi yang teridentifikasi dalam kampanye penipuan ini menggunakan nama yang sangat umum dan meyakinkan, seperti “Call History of Any Number”, “Phone Call History Tracker”, hingga “Call History Pro”. Nama-nama tersebut sengaja dibuat agar mudah ditemukan pengguna saat mencari aplikasi terkait riwayat panggilan di Play Store.

Yang lebih mengkhawatirkan, salah satu aplikasi bahkan menggunakan nama pengembang “Indian gov.in” untuk menciptakan kesan seolah-olah aplikasi tersebut berasal dari lembaga resmi pemerintah India. Strategi ini dipakai untuk meningkatkan kepercayaan pengguna dan memperbesar peluang aplikasi diunduh.

Menurut ESET, bukti yang ditemukan menunjukkan bahwa operasi penipuan ini kemungkinan telah berjalan sejak November 2025 dan terutama menargetkan pengguna Android di India serta kawasan Asia-Pasifik.

Dalam modus lainnya, beberapa aplikasi meminta pengguna memasukkan alamat email dengan alasan hasil pencarian riwayat panggilan akan dikirim melalui email tersebut. Namun seperti pola sebelumnya, data tidak akan muncul sebelum pengguna membayar biaya tertentu.

Metode pembayaran yang digunakan pun cukup beragam. Sebagian aplikasi memanfaatkan sistem langganan resmi milik Google Play Store. Sementara itu, aplikasi lain menggunakan layanan pembayaran pihak ketiga berbasis UPI yang populer di India, termasuk Google Pay, PhonePe, dan Paytm.

Beberapa aplikasi bahkan menyediakan formulir pembayaran kartu kredit langsung di dalam aplikasi. Praktik ini diketahui melanggar kebijakan keamanan Google karena transaksi dilakukan di luar sistem resmi Play Store.

Modus penipuannya juga dirancang sangat manipulatif. Dalam salah satu kasus, pengguna yang mencoba keluar dari aplikasi tanpa membayar akan menerima notifikasi palsu yang menyatakan bahwa data riwayat panggilan telah berhasil dikirim ke email mereka. Ketika notifikasi tersebut ditekan, pengguna langsung diarahkan menuju halaman pembayaran langganan.

Biaya yang dipatok aplikasi-aplikasi ini bervariasi, mulai dari sekitar 6 dolar AS hingga mencapai 80 dolar AS atau setara lebih dari satu juta rupiah tergantung paket yang dipilih.

Menariknya, aplikasi-aplikasi tersebut sebenarnya tidak meminta izin akses sensitif seperti membaca SMS, daftar kontak, maupun log panggilan perangkat. Hal inilah yang membuat banyak pengguna tidak curiga karena aplikasi terlihat “aman” dari sisi izin akses.

Padahal, menurut ESET, aplikasi tersebut memang tidak memiliki kemampuan teknis untuk mengambil data panggilan, SMS, ataupun WhatsApp sama sekali. Seluruh sistemnya hanyalah skema penipuan berbasis pembayaran dengan data palsu sebagai umpan.

ESET menyebut pengguna yang melakukan pembayaran melalui sistem resmi Google Play kemungkinan masih dapat mengajukan pengembalian dana sesuai kebijakan Google. Namun pengguna yang membayar melalui aplikasi pihak ketiga atau langsung menggunakan kartu kredit kemungkinan akan lebih sulit mendapatkan uang mereka kembali.

Kasus ini sekaligus menjadi pengingat bahwa keberadaan aplikasi di toko resmi belum tentu menjamin keamanan sepenuhnya. Pengguna tetap perlu berhati-hati terhadap aplikasi yang menawarkan fitur tidak masuk akal, terutama yang berkaitan dengan akses data pribadi orang lain.

Di saat yang sama, perusahaan keamanan siber Group-IB juga mengungkap kampanye penipuan lain yang menargetkan pengguna di Indonesia. Dalam laporan terbaru mereka, pelaku kejahatan siber diketahui berhasil mencuri sekitar 2 juta dolar AS dari korban di Indonesia melalui berbagai aplikasi dan situs palsu.

Penipuan tersebut dilakukan dengan menyamar sebagai platform pajak Indonesia CoreTax serta sejumlah merek terpercaya lainnya. Kampanye ini dikaitkan dengan kelompok ancaman siber bernama GoldFactory yang diketahui aktif melakukan pencurian finansial berbasis malware.

Serangan dilakukan melalui berbagai metode, mulai dari situs phishing, rekayasa sosial lewat WhatsApp, instalasi APK berbahaya, hingga penipuan telepon atau voice phishing. Korban biasanya diarahkan untuk mengunduh aplikasi Android palsu yang diam-diam memasang malware berbahaya di perangkat mereka.

Beberapa malware yang ditemukan dalam operasi tersebut antara lain Gigabud RAT, MMRat, dan Taotie. Malware ini mampu mencuri data sensitif, mengambil alih akun pengguna, hingga menjalankan transaksi keuangan tanpa izin korban.

Group-IB menyebut infrastruktur serangan tersebut tidak hanya digunakan untuk meniru satu layanan tertentu. Para pelaku diketahui telah menyalahgunakan lebih dari 16 merek terpercaya dan menargetkan populasi Indonesia yang mencapai sekitar 287 juta jiwa.

Maraknya kasus seperti ini menjadi bukti bahwa kejahatan siber semakin berkembang dengan memanfaatkan rasa penasaran dan kelengahan pengguna. Karena itu, pengguna Android disarankan untuk selalu memeriksa reputasi pengembang aplikasi, membaca ulasan secara teliti, serta menghindari aplikasi yang menawarkan fitur berlebihan atau tidak masuk akal.

Selain itu, pengguna juga dianjurkan untuk tidak sembarangan memberikan data pribadi maupun melakukan pembayaran pada aplikasi yang belum jelas kredibilitasnya, meskipun aplikasi tersebut tersedia di toko resmi seperti Google Play Store.