HATI-HATI, SPYLOAN MENYAMAR SEBAGAI PINJOL DI GOOGLE PLAY

Lebih dari selusin aplikasi pinjaman online berbahaya (SpyLoan), telah diunduh lebih dari 12 juta kali tahun ini dari Google Play. Indonesia menjadi salah satu targetnya. Ancaman SpyLoan Android mencuri data pribadi perangkat yang mencakup daftar semua akun, info perangkat, log panggilan, aplikasi yang diinstal, acara kalender, detail jaringan Wi-Fi lokal, dan metadata dari gambar.

Dilansir dari Bleeping Computer, Rabu, (6 Desember 2023), para peneliti dari ESET mengatakan bahwa risikonya juga meluas ke daftar kontak, data lokasi, dan pesan teks. Aplikasi tersebut menyamar  sebagai layanan keuangan pinjaman online yang menjanjikan “akses dana yang cepat dan mudah”. Namun, mereka mengelabui pengguna agar menerima pembayaran berbunga tinggi dan kemudian peretas memeras korban untuk membayarnya.

Sejak awal 2023, perusahaan keamanan siber ESET, anggota App Defense Alliance yang berfokus mendeteksi dan memberantas malware dari Google Play, telah menemukan 18 aplikasi SpyLoan.

Google bereaksi terhadap pelaporan ESET dan menghapus 17 aplikasi berbahaya, sementara salah satunya kini tersedia dengan serangkaian izin dan fungsi berbeda dan tidak lagi terdeteksi sebagai ancaman SpyLoan.

Untuk menyusup ke Google Play, aplikasi ini dikirimkan dengan kebijakan privasi yang sesuai, mengikuti standar kenali pelanggan Anda (KYC), dan memiliki permintaan izin yang transparan. Dalam banyak kasus, aplikasi palsu tersebut tertaut ke situs web yang secara terang-terangan meniru situs perusahaan yang sah, bahkan menampilkan foto karyawan dan kantor untuk menciptakan kesan asli, tapi sebenarnya palsu.

Aplikasi SpyLoan melanggar kebijakan Layanan Keuangan Google dengan secara sepihak memperpendek jangka waktu pinjaman pribadi menjadi beberapa hari atau periode sewenang-wenang lainnya, bahkan mengancam pengguna dengan ejekan dan mengekspose data pribadi jika tidak mematuhinya.

Selain itu, apa yang disebutkan dalam kebijakan privasi bersifat menipu, sehingga memberikan alasan yang tampaknya sah untuk mendapatkan izin yang berisiko. Misalnya, izin kamera seharusnya diperlukan untuk memungkinkan pengunggahan data foto dan akses ke kalender pengguna untuk menjadwalkan tanggal pembayaran dan pengingat, namun hal tersebut merupakan praktik yang tidak wajar.

Selain itu, aplikasi SpyLoan meminta izin yang sebenarnya tidak diperlukan sama sekali, seperti akses ke log panggilan dan daftar kontak, yang mereka gunakan untuk memeras pengguna ketika mereka menolak permintaan pembayaran yang tidak masuk akal.

“Meskipun aplikasi SpyLoan ini secara teknis mematuhi persyaratan untuk memiliki kebijakan privasi, praktiknya jelas melampaui cakupan pengumpulan data yang diperlukan untuk menyediakan layanan keuangan dan mematuhi standar perbankan KYC,” kata ESET. “Kami yakin tujuan sebenarnya dari izin ini adalah untuk memata-matai pengguna. Aplikasi ini dan melecehkan serta memeras mereka dan kontak mereka,” tambah para peneliti.

Untuk bertahan dari ancaman SpyLoan, percayalah hanya pada lembaga keuangan yang sudah mapan, tinjau dengan cermat izin yang diminta saat memasang aplikasi baru, dan baca ulasan pengguna di Google Play, yang sering kali berisi petunjuk tentang sifat penipuan dari aplikasi tersebut.

 

Sumber:https://cyberthreat.id/read/16319/Indonesia-Korban-SpyLoan-yang-Menyamar-sebagai-Pinjol-di-Google-Play

0 replies

Leave a Reply

Want to join the discussion?
Feel free to contribute!

Leave a Reply

Your email address will not be published.

This site uses Akismet to reduce spam. Learn how your comment data is processed.