Cyberthreat.id - Awal Oktober lalu, Cyberthreat.id menemukan layanan fintech peer to peer lending alias pinjaman daring AdaKami meminta pengguna yang telah mendaftar dan menginstal aplikasinya untuk mengunduh aplikasi baru dengan alasan aplikasi lama telah diperbaharui. Permintaan itu dikirim lewat WhatsApp ke nomor yang diisi saat pendataran.

"Pinjaman yang Anda kirim pada tanggal 4 dan 5 telah disetujui. Klik untuk mengisi kartu bank yang benar. Kami tidak dapat mengirimi Anda uang. Terima kasih atas kerjasamanya，Pesan dikirim untuk kedua kalinya. Jika Anda melihatnya, lanjutkan.(Versi yang baru saja diperbarui pada tanggal 5) https://pjmc[.]cc/1WN7Gad," demikian isi pesan yang masuk.

Padahal, Cyberthreat.id belum mengajukan permintaan pinjaman apa pun.  

Saat diklik, tautan itu mengarahkan pengguna untuk mengunduh sebuah aplikasi berbeda yang tersimpan di sfile.mobi, sebuah layanan berbagi file gratis yang menjanjikan pembayaran jika ada yang men-download file atau aplikasi yang diunggah. Aplikasi yang dalam pesan itu disebut sebagai versi terbaru AdaKami, ternyata adalah aplikasi Sakuget APK Pinjol2020.apk.

Pengujian menggunakan Virus Total menemukan aplikasi itu mengandung malware. VirusTotal menemukan aplikasi itu dioperasikan menggunakan alamat IP 192.124.249.5. Namun, saat diakses, alamat IP itu diblokir oleh Sucuri Website Firewall, sebuah layanan firewall berbasis cloud yang mendeteksi adanya ancaman.

VirusTotal  menemukan aplikasi ini juga memuat kode pelacakan dari Google Adsense yang mengindikasikan aplikasi ini digunakan untuk membombardir penggunanya dengan iklan. (Lihat: Menguji Keamanan Aplikasi yang Diminta Unduh Setelah Mendaftar di Pinjol AdaKami, Terdeteksi Ada Malware)

Saat dikonfirmasi, pihak AdaKami yang telah mengatongi izin operasi dari Otoritas Jasa Keuangan (OJK),  mengatakan pesan yang dikirim ke ponsel pengguna bukan dari sistem mereka. Namun, AdaKami belum bisa  memberikan detail hasil investigasi internal yang dilakukan.

"Nanti kalau sudah keluar hasil investigasi akan kami beritahukan, kami akan terbuka dan menerima berbagai masukan terkait dengan masalah ini," kata Legal GR and Compliance Departement Head AdaKami, Jaka Dibya Ananta Satari ketika dihubungi oleh Cyberthreat.id, Jumat (9 Oktober 2020). (Lihat: AdaKami Klaim SMS Notifikasi yang Diduga Berisi Malware Bukan dari Sistemnya)

Sebulan berlalu, hasil itu tak kunjung diberikan. Untuk mengetahui perkembangannya, pada Rabu (4 November 2020), Cyberthreat.id kembali mencoba mendaftar di aplikasi AdaKami menggunakan nomor ponsel yang berbeda dari sebelumnya

Setelah memasukkan nomor ponsel dan membuat password akun baru, pengguna 'disodorkan' perjanjian layanan dan kebijakan privasi. Dijelaskan juga soal data pribadi apa saja yang disimpan, seperti nama, alamat email, tanggal lahir, nomor telepon, alamat, dan nomor rekening bank.

Data ini digunakan oleh pihak fintech untuk menghitung skor kredit dan memastikan keaslian pengguna layanan. Pihak fintech mengatakan data dikumpulkan bersifat anonim dan aman dari akses pihak yang tidak berkepentingan. Mereka juga meyakinkan pengguna jika data pribadi pengguna tidak akan diperjual belikan.

Dalam proses pendaftaran, pengguna diminta untuk memberikan akses ke kamera untuk mengambil foto KTP dan selfie pengguna layanan. Kemudian ada izin akses ke lokasi dan juga microphone. Proses ini sudah sesuai dengan aturan dari OJK.

Berbeda dari sebelumnya, Cyberthreat.id tidak lagi menerima sms penwaran pinjaman dan konfirmasi pinjaman seperti yang sebelumnya didapatkan. Bahkan setelah seharian menunggu, Cyberthreat.id juga tidak menerima SMS spam sama sekali seperti pernah terjadi sebelumnya.

Cyberthreat.id tengah berusaha mewawancarai Adakami terkait dengan SMS notifikasi konfirmasi pinjaman sebelumnya dan perubahan yang dilakukan, tetapi belum mendapatkan jawaban.[]

Editor: Yuswardi A. Suud