Hampir 250 aplikasi Android palsu yang menyamar sebagai platform media sosial dan game populer terdeteksi menguras saldo serta tagihan operator seluler penggunanya.
Baca Juga:
Firma keamanan siber Zimperium membeberkan bahwa operasi senyap ini menggunakan teknik injeksi JavaScript, otomatisasi WebView, hingga pencegatan kata sandi sekali pakai (OTP).
Aplikasi tiruan yang dipakai pelaku mencakup nama-nama besar seperti TikTok, Minecraft, Grand Theft Auto (GTA), Instagram Threads, dan Facebook Messenger.
Varian malware di dalamnya dirancang mampu membaca kartu SIM korban. Serangan hanya akan berjalan saat perangkat mendeteksi jaringan operator seluler yang menjadi target di negara tertentu, meliputi Malaysia, Thailand, Rumania, dan Kroasia.
Zimperium pertama kali mengendus aktivitas ini pada Maret 2025. Gelombang serangan mencapai puncaknya pada September 2025, tetap terlacak hingga Januari 2026, dan sebagian infrastruktur sibernya dilaporkan masih aktif sampai sekarang.
Para peretas melancarkan aksinya menggunakan tiga varian malware berbeda.
Varian pertama berfokus mencegat OTP dengan memanfaatkan taktik rekayasa sosial guna meyakinkan pengguna bahwa mereka sedang memverifikasi akun game.
Malware ini menyalahgunakan Application Programming Interface (API) penangkap SMS Google untuk mendaftarkan korban ke portal tagihan premium.
Varian kedua menyasar pengguna di Thailand lewat SMS premium tersembunyi di latar belakang dan mencuri cookie untuk menjaga akses ke sistem tagihan.
Varian ketiga menggabungkan penipuan SMS dengan notifikasi instan Telegram agar pelaku bisa memantau infeksi secara langsung.
Berdasarkan sebaran data, Malaysia menjadi wilayah dengan dampak paling meluas yang mencakup lebih dari 50 persen total korban.
Pihak Google menegaskan tidak ada satu pun dari ratusan aplikasi terinfeksi tersebut yang berhasil lolos ke toko resmi Google Play Store. Juru bicara Google menjelaskan, sistem Google Play Protect yang aktif secara bawaan pada perangkat Android dengan Google Play Services otomatis melindungi pengguna dari varian malware yang dikenali.
Bantahan Google dinilai para pakar siber belum menyelesaikan akar persoalan. Kasus ini mempertegas rapuhnya ekosistem keamanan aplikasi digital ketika pengguna mengunduh file dari pihak ketiga di luar toko resmi.
Para ahli mendesak adanya evaluasi total terhadap kerangka kerja keamanan aplikasi global karena penyalahgunaan fitur resmi seperti SMS Retriever dan CookieManager API membuktikan kontrol keamanan platform saat ini tertinggal dari kreativitas pelaku kriminal siber.
