Lebih dari selusin aplikasi pinjaman online berbahaya, dikenal sebagai SpyLoan, telah menyebar di Google Play dengan unduhan lebih dari 12 juta kali tahun ini, dan Indonesia menjadi salah satu targetnya. Ancaman dari SpyLoan Android mencakup pencurian data pribadi perangkat, seperti daftar akun, info perangkat, log panggilan, aplikasi yang diinstal, acara kalender, dan metadata dari gambar.
Baca Juga : Meta Meluncurkan Enkripsi End-to-End di Messenger: Tonggak Sejarah dalam Keamanan Pesan Pribadi
Melansir dari CyberThreat News, Peneliti dari ESET, anggota App Defense Alliance yang berfokus pada mendeteksi dan menghilangkan malware dari Google Play, melaporkan bahwa risikonya melibatkan juga daftar kontak, data lokasi, dan pesan teks. SpyLoan menyamar sebagai layanan keuangan pinjaman online, menawarkan “akses dana yang cepat dan mudah,” tetapi sebenarnya memaksa pengguna membayar bunga tinggi, mengancam, dan memeras mereka.
Google telah bereaksi terhadap temuan ESET dengan menghapus 17 aplikasi berbahaya, sementara satu aplikasi kini telah diubah dengan izin dan fungsi yang berbeda sehingga tidak lagi terdeteksi sebagai ancaman SpyLoan.
Aplikasi ini pertama kali muncul pada tahun 2020, tetapi baru-baru ini menjadi lebih umum di sistem Android dan iOS. Saluran distribusinya melibatkan situs web palsu, toko aplikasi pihak ketiga, dan Google Play. Menurut ESET, SpyLoan semakin merambah ke berbagai negara, termasuk Meksiko, India, Thailand, Indonesia, Nigeria, Filipina, Mesir, Vietnam, Singapura, Kenya, Kolombia, dan Peru.
Baca Juga : Perluasan Pasar Keamanan Siber Indonesia Diprediksi akan Terus Meningkat
Untuk menyusup ke Google Play, SpyLoan menggunakan kebijakan privasi yang sesuai, mengikuti standar Kenali Pelanggan Anda (KYC), dan meminta izin dengan cara yang transparan. Beberapa aplikasi palsu terkait dengan situs web palsu yang meniru perusahaan sah, menciptakan kesan autentik dengan menampilkan foto karyawan dan kantor palsu.
SpyLoan melanggar kebijakan Layanan Keuangan Google dengan memperpendek jangka waktu pinjaman dan mengancam pengguna jika tidak mematuhi. Kebijakan privasinya juga menipu, memberikan alasan palsu untuk mendapatkan izin yang berisiko, seperti izin kamera dan akses ke log panggilan yang sebenarnya tidak diperlukan.
Para peneliti dari ESET menyatakan bahwa meskipun aplikasi SpyLoan secara teknis mematuhi persyaratan kebijakan privasi, praktiknya melampaui cakupan pengumpulan data yang diperlukan, dengan tujuan memata-matai pengguna, melecehkan, dan memeras mereka serta kontak mereka.
Untuk melindungi diri dari ancaman SpyLoan, disarankan untuk hanya mempercayai lembaga keuangan yang sudah jelas keamanannya pastikan sudah tersertifikasi dan diawasi oleh BI serta OJK, memeriksa dengan cermat izin saat memasang aplikasi baru, dan membaca ulasan pengguna di Google Play yang sering kali memberikan petunjuk tentang sifat penipuan dari aplikasi tersebut. Keamanan pribadi dan kehati-hatian dalam memilih aplikasi menjadi kunci untuk melindungi diri dari ancaman siber yang semakin canggih.
