Awas! Aplikasi Pinjol Palsu Sedot Data Pribadi Pengguna HP Android

KOMPAS.com - Aplikasi berbahaya yang menyamar sebagai aplikasi pinjaman uang alias pinjaman online (pinjol) beredar di toko aplikasi Google Play Store.

Jumlah aplikasi berbahaya itu terbilang banyak, tetapi belasan di antaranya memakai nama SpyLoan. Selain beredar di Play Store, aplikasi berbahaya itu juga beredar di toko aplikasi pihak ketiga atau situs web berbahaya.

Di Play Store, aplikasi itu sudah diunduh lebih dari 12 juta kali sepanjang 2023 ini. Aplikasi itu disebut berbahaya karena mencuri data pribadi yang ada di perangkat pengguna.

Data yang dimaksud termasuk semua akun pengguna, info perangkat, log panggilan, aplikasi yang diinstal, acara di kalender, detail jaringan WiFi lokal hingga metadata dari gambar.

Baca juga: Daftar 102 Pinjol Legal Terbaru yang Terdaftar OJK

Bahkan, menurut para peneliti keamanan, data yang dicuri berpotensi meluas ke daftar kontak, data lokasi hingga pesan teks.

Dalam praktiknya, aplikasi pinjaman uang itu menyamar sebagai layanan keuangan yang sah untuk mengajukan pinjaman. Mereka juga menjanjikan pinjaman yang mudah dan cepat.

Namun aplikasi berbahaya itu mengelabui pengguna agar mau menerima pinjaman dengan bunga tinggi. Ketika diterima, nantinya mereka akan mengancam dan memeras korban agar membayar pinjaman.

Menurut data perusahaan keamanan ESET, ancaman SpyLoan meningkat selama tahun ini. Utamanya di negara-negara termasuk Indonesia, Meksiko, India, Thailand, Filipina, Mesir, Singapura hingga Peru.

Mereka menyusup ke Play Store dengan cara mematuhi kebijakan privasi toko aplikasi ini, mengikuti standar know your customer (KYC), serta memiliki izin akses yang transparan. Namun dalam banyak kasus, aplikasi berbahaya ini terkait dengan situs web palsu yang menyamar sebagai situs resmi.

Baca juga: Ciri-ciri Pinjol Ilegal, Hati-hati Terbuai Kemudahan yang Menjebak

Aplikasi itu juga melanggar kebijakan layanan keuangan Google dengan mempersingkat jangka waktu pinjaman secara sepihak, kemudian mengancam pengguna dengan bahasa yang kasar.

Kemudian, izin yang diminta SpyLoan juga sebenarnya tidak diperlukan sama sekali. Misalnya akses ke log panggilan dan daftar kontak.

"Kami yakin tujuan sebenarnya dari izin ini adalah untuk memata-matai pengguna aplikasi ini dan melecehkan serta memeras mereka dan kontak mereka," kata peneliti ESET, dikutip KompasTekno dari Bleeping Computer, Minggu (10/12/2023).

Sejak awal tahun ini, ESET sudah menemukan sekitar 18 aplikasi SpyLoan di Play Store. Google sebagai pemilik Play Store kemudian menghapus 17 aplikasi itu, sedangkan sisanya masih tersedia dan tidak lagi terdeteksi sebagai aplikasi berbahaya.

Aplikasi SpyLoan awalnya ditemukan pada tahun 2020, tetapi mulai beredar lebih masif di Android dan iOS sejak tahun lalu.

Agar terhindar dari aplikasi berbahaya semacam ini, para peneliti menyarankan pengguna untuk hanya memakai layanan dari lembaga keuangan ternama. Mereka juga merekomendasikan pengguna untuk selalu meninjau izin akses yang diminta ketika menginstal aplikasi baru.

Pengguna juga disarankan membaca ulasan dari pengguna lain di Play Store. Sebab, dari situ sering ditemukan petunjuk tentang indikasi penipuan dari aplikasi.