tirto.id - “Katakanlah Anda adalah seorang pengembang yang telah menghabiskan waktu selama dua minggu atau lebih untuk membikin aplikasi hebat. Lantas, apa impian Anda?” tanya Steve Jobs, dalam iPhone Software Roadmap Event, 2008 silam. “Tentu saja, impian Anda adalah membuat aplikasi yang Anda ciptakan berada di layar setiap iPhone [...] Lalu, pengguna iPhone menyukai dan rela mengeluarkan uang untuk aplikasi Anda."
Semenjak diluncurkan pada 2008, setahun selepas iPhone lahir, App Store menjadi cara terbaik mendistribusikan aplikasi bagi ponsel pintar, khususnya yang berbasis iOS. Hingga kuartal 1-2019, terdapat 1,8 juta aplikasi yang siap diunduh dan digunakan di App Store. Pihak oposisi, toko aplikasi Android Play Store, tak kalah. Di waktu yang sama, ada 2,1 juta aplikasi yang menghuni Play Store.
Salah satu alasan banyaknya aplikasi di kedua toko itu karena bisnis ini menjanjikan. Dalam paper “A Large Scale Empirical Study on Software Reuse in Mobile Apps” yang ditulis Israel J. Mojica, seorang pengembang aplikasi bisa memperoleh uang sedikitnya $15 ribu. Pundi-pundi akan menggunung manakala aplikasi booming.
Sayangnya, meski jadi pusat distribusi resmi aplikasi, di App Store dan Play Store terdapat banyak aplikasi abal-abal, dengan berbagai versi ke-abal-abalannya, yang mengancam pengguna ponsel pintar. Sebagaimana dilansir Ars Technica, peneliti dari ESET Lukas Stefanko pada Mei 2019 menemukan aplikasi jahat di Play Store, yakni Coin Wallet dan Trezor Mobile Wallet.
Dalam deskripsinya, kedua aplikasi itu mengklaim bertugas menghasilkan alamat unik bagi transaksi kripto. Namun, menurut Stefanko, tujuan sebenarnya dari aplikasi-aplikasi itu adalah menjebak pengguna agar mentransfer uang kripto ke dompet milik pencipta aplikasi.
Kedua aplikasi itu adalah bagian dari situsweb bernama coinwalletinc.com, yakni situsweb penipuan uang kripto. Dalam kurun waktu Februari hingga Mei 2019, telah dipasang lebih dari 1.000 kali oleh pengguna Android.
Selain aplikasi yang menipu, termaktub pula aplikasi-aplikasi yang kerjanya diragukan. Soal VPN alias Virtual Private Network, misalnya. Penelitian yang dilakukan Australia Commonwealth Scientific and Industrial Research Organization, sebagaimana diwartakan Wired, menyatakan bahwa 80 persen dari 283 VPN ponsel pintar yang diteliti tidak memiliki fungsi enkripsi sama sekali atas layanan yang mereka tawarkan.
Laporan Wired lainnya mengutip survei firma penelitian virus AV-Comparative yang menyebut hanya 80 antivirus yang memiliki kompetensi dasar mendeteksi virus, dengan mendeteksi 30 persen dari 2.000 contoh source code jahat. Survei itu dilakukan terhadap 250 antivirus yang tersedia di Play Store,
“Dulu, kamu berhasil menemukan aplikasi jahat, aplikasi yang tidak bisa apa-apa sama sekali, dan penemuan antivirus yang tidak bisa mendeteksi kode jahat bukanlah hal yang aneh,” terang Peter Stelzhammer, Direktur Pelaksana AV-Comparatives, kepada Wired.
Hal menggelikan terkait aplikasi abal-abal terungkap pada November 2017 lalu. Sebagaimana diwartakan Independent, jutaan orang tertipu mengunduh WhatsApp palsu. Alih-alih memasang WhatsApp asli yang dimiliki Facebook, pengguna disuguhi “Update WhatsApp Messenger.” Dan untuk mengelabui sistem, pencipta aplikasi abal-abal itu menuliskan “WhatsApp Inc” dengan karakter Unicode khusus “WhatsApp+Inc%C2%A0.”
Aplikasi abal-abal banyak rupanya. Ada aplikasi tiruan, aplikasi scam atau penipuan, juga aplikasi yang tidak memiliki kemampuan apa pun. Dilansir The Economist, pada 2017, setengah dari 50 aplikasi terlaris di Google Play adalah aplikasi abal-abal. Dan menurut Engadget, aplikasi “Setup for Amazon Alexa”, sebuah aplikasi scam, sukses nangkring di posisi ke-75 sebagai “Top Free” dan ke-6 di segmen “utilities apps” App Store.
Masih menurut warta The Economist, secara umum, aplikasi abal-abal bekerja untuk tiga hal. Pertama, aplikasi yang bertujuan untuk mencuri data sensitif, seperti data terkait akun bank atau akun e-mail. Sekali data terambil, pencipta aplikasi bisa menguras korbannya.
Kerja aplikasi mencuri data masuk dalam kategori phishing, salah satu kejahatan maya paling populer. Pada 2015, dalam sebuah publikasinya, Wired menyebut 91 persen serangan maya apa pun dimulai melalui phishing. Modusnya adalah dengan menjebak korbannya melalui e-mail ataupun situsweb palsu atau aplikasi abal-abal. Akibat aksi phishing, dunia mengalami kerugian antara $61 juta hingga $3 miliar per tahun.
Kedua, aplikasi abal-abal yang bekerja dengan cara konvensional. Aplikasi macam ini bekerja alakadarnya, bahkan ada yang tidak memiliki kemampuan apa pun, tetapi menambang iklan di dalamnya.
Di dunia digital, menghasilkan uang via iklan yang terpasang pada aplikasi menggiurkan. Merujuk data yang dipacak Statista, pada 2015, dunia iklan aplikasi menghasilkan uang sebesar $40,5 miliar. Diproyeksikan angkanya akan meningkat menjadi $117 miliar pada 2020 mendatang.
Selain memperoleh iklan dari agen-agen digital resmi, pemilik aplikasi abal-abal pun dapat memperoleh iklan dari dark-web. Masih dilansir The Economist, pengiklan dari dark-web dapat menawari pemilik aplikasi $1 per pengguna.
Terakhir, aplikasi abal-abal yang bertujuan untuk menjalankan source code untuk menambang uang kripto. Pada 2014, aplikasi bernama “Football Manager Handheld sukses melakukannya.
Dalam paper berjudul “Why are Android Apps Removed From Google Play? A Large-scale Empirical Study” yang ditulis Haoyu Wang, Google dan pemilik toko aplikasi lainnya bukannya tidak berupaya membersihkan lapaknya. Antara 2015 hingga 2017, ada 790 ribu aplikasi diusir dari Play Store. Secara umum, aplikasi yang dihapus melanggar satu atau lebih dari 6 kategori, seperti aplikasi berbahaya, aplikasi berisiko melanggar privasi, aplikasi palsu, aplikasi spam, aplikasi pemblokir iklan, dan aplikasi anak yang melanggar Children's Online Privacy Protection Rule (COPPA).
Yang unik, dari aplikasi-aplikasi yang dihapus itu, tak jarang yang memperoleh rating tinggi dengan jumlah unduhan besar. Dari catatan paper itu, 500 aplikasi yang dihapus diunduh lebih dari 1 juta kali.
Masalah mendasar mengapa toko aplikasi terus terisi aplikasi abal-abal terjadi karena dunia ponsel pintar begitu populer. App Store maupun Play Store terus-terusan main kucing-kucingan dengan pencipta aplikasi abal-abal.
“Google berinvestasi sangat besar untuk pertahanan Play Store, tetapi popularitas ponsel pintar membuat serangan terus saja terjadi,” tegas Michael Shaulov, Pemimpin Check Point, firma keamanan digital.
Editor: Maulida Sri Handayani
