Perusahaan keamanan siber Zimperium menemukan hampir 250 aplikasi jahat yang diam-diam menyedot uang dari pengguna Android. Dilansir dari Detik iNET, penipuan siber ini telah memakan banyak korban di setidaknya empat negara.
Pengguna Android diimbau untuk waspada karena aplikasi berbahaya tersebut meniru platform populer. Beberapa di antaranya mendompleng nama besar seperti TikTok, Minecraft, Grand Theft Auto, Threads, hingga Facebook Messenger.
Ketika berhasil diunduh, perangkat lunak berbahaya ini akan mendaftarkan pengguna ke layanan berlangganan otomatis. Proses tersebut mengenakan biaya premium tanpa sepengetahuan pemilik perangkat.
Skema penipuan ini beroperasi dengan memanfaatkan teknik canggih untuk mengelabui sistem keamanan. Modus yang digunakan meliputi injeksi JavaScript, pencegatan sanksi one-time password (OTP), dan otomasi WebView guna menghindari deteksi sekaligus mengeksfiltrasi data.
Perangkat penipu ini juga mampu membaca kartu SIM korban dan hanya akan aktif pada operator telekomunikasi tertentu. Berdasarkan laporan Zimperium, mayoritas korban yang terdampak berada di Malaysia, Thailand, Romania, dan Kroasia.
Pihak peretas di balik kampanye hitam ini meluncurkan tiga varian malware untuk menyerang target. Varian pertama fokus pada sistem langganan otomatis yang mendaftarkan pengguna ke portal konten premium tanpa izin.
Pada jenis serangan yang lebih tinggi, sistem akan membaca spesifikasi kartu SIM untuk menyasar operator yang telah ditentukan. Guna menyamarkan aksi, aplikasi akan menampilkan halaman web normal jika operator korban tidak masuk dalam daftar target.
Penyalahgunaan API Google
Apabila korban menggunakan operator yang ditargetkan, malware segera melancarkan taktik rekayasa sosial. Pengguna akan dikelabui seolah-olah sedang melakukan proses autentikasi akun game.
Aplikasi ilegal ini selanjutnya menyalahgunakan API Google untuk memotong SMS OTP yang masuk. Setelah itu, perintah JavaScript dikirimkan ke halaman web tersembunyi untuk mengeksekusi langganan premium melalui portal billing operator.
Dampak dari serangan ini membuat tagihan telepon korban membengkak akibat paksaan langganan tersembunyi tersebut. Kampanye penipuan ini pertama kali terdeteksi pada Maret 2025 dan terpantau masih berjalan pada Januari 2026.
Pihak Google memberikan konfirmasi bahwa hampir 250 aplikasi berbahaya itu tidak beredar di toko resmi Play Store. Google juga menyatakan bahwa seluruh pengguna Android telah dilindungi oleh sistem keamanan bawaan.
"Pengguna Android secara otomatis terlindungi dari versi malware yang dikenal oleh Google Play Protect, yang diaktifkan secara default di perangkat Android dengan Google Play Services," kata juru bicara Google, seperti dikutip dari BGR, Minggu (31/5/2026).
