Perusahaan keamanan siber Zimperium menemukan hampir 250 aplikasi jahat yang diam-diam menyedot uang dari pengguna Android. Aksi penipuan digital ini telah memakan banyak korban di setidaknya empat negara.

Pengguna Android diimbau untuk meningkatkan kewaspadaan.

>>> Bill Gates: Karyawan Terbaik Microsoft Berasal dari Lulusan Kampus Elit

Piranti lunak berbahaya tersebut sengaja meniru visual berbagai game dan media sosial populer, seperti TikTok, Minecraft, Grand Theft Auto, Threads, dan Facebook Messenger.

Ketika aplikasi berbahaya ini berhasil diunduh, sistem di dalamnya akan mendaftarkan pengguna ke layanan berlangganan otomatis. Proses tersebut mengenakan biaya premium tanpa disadari oleh para korban.

Skema penipuan ini mengintegrasikan teknik canggih untuk memuluskan operasinya. Teknik tersebut meliputi injeksi JavaScript, pencegatan one-time password (OTP), dan otomasi WebView.

Metode tersebut digunakan untuk menghindari deteksi, mengotomatisasi langganan, sekaligus melakukan eksfiltrasi data. Malware ini bekerja secara spesifik dengan membaca kartu SIM korban terlebih dahulu.

Program jahat ini baru akan aktif jika mendeteksi penggunaan operator telekomunikasi tertentu yang menjadi target.

Berdasarkan laporan Zimperium, sebaran korban sebagian besar berada di Malaysia, Thailand, Romania, dan Kroasia.

Kelompok peretas di balik kampanye ini memanfaatkan tiga varian malware berbeda. Varian pertama fokus pada sistem langganan otomatis yang mendaftarkan pengguna ke layanan premium tanpa izin.

Pada jenis serangan yang lebih canggih, pembacaan kartu SIM dilakukan untuk membidik operator yang sudah ditentukan sebelumnya.

>>> Blackout Sumatera Jadi Peringatan untuk Perkuat Ketahanan Sistem Kelistrikan

Guna mengelabui sistem deteksi, aplikasi akan menampilkan halaman web yang tampak normal jika korban bukan pengguna dari operator yang ditargetkan.

Sebaliknya, jika korban menggunakan operator target, malware meluncurkan taktik rekayasa sosial. Pengguna akan dikelabui seolah-olah sedang melakukan proses autentikasi akun game.

Aplikasi jahat ini kemudian menyalahgunakan API Google untuk mencegat SMS OTP yang masuk. Langkah berikutnya adalah menyebarkan perintah JavaScript ke halaman web yang tersembunyi.

Proses ini bertujuan untuk mendaftarkan konten premium melalui portal billing operator telekomunikasi. Dampak dari manipulasi ini membuat tagihan telepon korban membengkak secara tiba-tiba.

Tanggapan Google

Kampanye penipuan siber ini terdeteksi pertama kali pada Maret 2025 dan masih berlangsung hingga Januari 2026.

Pihak Google mengonfirmasi bahwa hampir 250 aplikasi berbahaya tersebut tidak beroperasi di Play Store.

Google memastikan seluruh pengguna perangkat Android telah mendapatkan perlindungan dari sistem keamanan internal.

>>> Akamai Akuisisi LayerX Senilai 205 Juta Dolar AS untuk Keamanan AI

"Pengguna Android secara otomatis terlindungi dari versi malware yang dikenal oleh Google Play Protect," kata juru bicara Google.