Puluhan Aplikasi Palsu Pengintip WhatsApp dan SMS Beredar di Google Play, Diunduh 7,3 Juta Kali
Peneliti ESET menemukan 28 aplikasi palsu di Google Play yang mengklaim bisa mengakses data WhatsApp dan SMS, diunduh 7,3 juta kali, kini sudah dihapus.
(Bisnis.Com) 17/05/26 15:50 222935
Bisnis.com, JAKARTA— Peneliti keamanan siber dariESETmenemukan 28 aplikasi palsu di Google Play yang mengklaim dapat mengakses riwayat panggilan, SMS, hingga log panggilan WhatsApp untuk nomor telepon apa pun. Secara kumulatif, aplikasi-aplikasi tersebut telah diunduh lebih dari 7,3 juta kali.
ESET menamai kelompok aplikasi tersebut sebagai CallPhantom. Aplikasi-aplikasi itu diketahui meminta pengguna membayar untuk membuka fitur yang diklaim tersedia. Namun, data yang diberikan kepada pengguna ternyata hanyalah data acak yang dibuat secara otomatis.
Sebagai mitra App Defense Alliance, ESET telah melaporkan temuan tersebut kepadaGoogle. Seluruh aplikasi yang teridentifikasi dalam laporan itu kini telah dihapus dari Google Play.
Peneliti ESET,Lukas Stefanko, mengatakan pihaknya pertama kali menemukan modus tersebut pada November 2025 melalui sebuah unggahan di Reddit yang membahas aplikasi bernamaCall History of Any Numberdi Google Play.
“Tidak mengejutkan, analisis kami menunjukkan bahwa data ‘riwayat panggilan’ yang diberikan aplikasi itu sepenuhnya dibuat-buat aplikasi menghasilkan nomor telepon secara acak dan mencocokkannya dengan nama tetap, waktu panggilan, serta durasi panggilan yang sudah tertanam langsung di dalam kode,” kata Stefanko dikutip dari laman laman ESET pada Minggu (17/5/2026).
Menurut ESET, aplikasi CallPhantom terutama menyasar pengguna Android di India dan kawasan Asia Pasifik. Banyak aplikasi secara otomatis menampilkan kode negara India +91 dan mendukung sistem pembayaran UPI yang umum digunakan di India.
Secara umum, aplikasi CallPhantom memiliki antarmuka sederhana dan tidak meminta izin akses sensitif atau invasif kepada pengguna. Hal itu karena aplikasi tersebut memang tidak memiliki kemampuan untuk mengakses data panggilan, SMS, maupun WhatsApp secara nyata.
Dalam analisis terhadap aplikasi-aplikasi tersebut, ESET menemukan tiga metode pembayaran berbeda yang digunakan pengembang. Dua di antaranya disebut melanggar kebijakan pembayaran Google Play.
Sebagian aplikasi menggunakan sistem langganan resmi Google Play Billing, sementara aplikasi lain menggunakan pembayaran pihak ketiga. Dalam beberapa kasus, formulir pembayaran kartu langsung ditampilkan di dalam aplikasi.
Biaya layanan palsu yang ditawarkan juga bervariasi. Beberapa aplikasi menawarkan paket berlangganan mingguan, bulanan, hingga tahunan, dengan harga tertinggi mencapai US$80. Adapun rata-rata harga untuk paket langganan terendah berada di kisaran €5.
ESET menjelaskan bahwa langganan yang dibeli melalui sistem pembayaran resmi Google Play pada umumnya masih dapat dibatalkan. Untuk 28 aplikasi yang telah dihapus dari Google Play tersebut, seluruh langganan aktif turut dibatalkan secara otomatis. Dalam beberapa kasus, pengguna juga berpeluang memperoleh pengembalian dana dari pembelian melalui Google Play.
Namun, apabila pembayaran dilakukan di luar sistem Google Play, misalnya dengan memasukkan detail kartu pembayaran langsung di aplikasi atau melalui layanan pihak ketiga, maka Google tidak dapat membatalkan langganan maupun memberikan pengembalian dana. Pengguna diminta menghubungi penyedia layanan pembayaran masing-masing.
#aplikasi-palsu #pengintip-whatsapp #pengintip-sms #google-play #aplikasi-callphantom #eset-temuan #aplikasi-dihapus #aplikasi-palsu-android #aplikasi-palsu-india #aplikasi-palsu-asia-pasifik #aplikasi