Cyberthreat.id – Riset perusahaan keamanan siber asal Israel, Upstream, menunjukkan aplikasi VivaVideo diduga melakukan upaya tindakan penipuan siber kepada para penggunanya.

Tercatat, lebih dari 20 juta upaya permintaan transaksi tipu-tipu melalui VivaVideo. Jika upaya ini berhasil dan tidak diblokir, peneliti memperkirakan pengguna bisa merugi mencapai US$ 27 juta.

VivaVideo merupakan aplikasi Android edit video yang dikembangkan oleh QuVideo Inc, perusahaan asal Hangzhou, China. VivaVideo menawarkan fitur produksi video dasar, alat pengeditan, efek, pemberian musik, dan banyak lagi secara gratis dan premium. Kini tercatat telah diunduh 100 juta pengguna di seluruh dunia.

“Saat berbagi video menjadi semakin populer di TikTok dan Instagram, semakin banyak pengguna mencari cara untuk mengedit konten mereka. Namun, aktor jahat juga meningkatkan aktivitas dan teknologinya, dan mereka mendatangkan malapetaka di aplikasi seperti VivaVideo,” ujar Kepala Secure-D Upstream Geoffrey Cleaves.

Upaya penipuan tersebut, menurut Upstream, VivaVideo mencoba untuk berlangganan versi premium sambil mengirimkan iklan yang tidak terlihat sambil menghindari deteksi oleh pengguna untuk menghasilkan klik palsu, demikian Upstream dalam rilis yang diterima Cyberthreat.id, Kamis (12 November 2020).

Melalui platform anti penipuan seluler berbasis kecedasan buatan (AI) miliknya, Secure-D, Upstream mendeteksi transaksi seluler di VivaVideo yang mencurigakan sejak awal 2019.

"VivaVideo telah lama menduduki puncak daftar aplikasi yang mencurigakan di indeks Secure-D. Jadi, tim peneliti Secure-D memanfaatkan kesempatan tersebut untuk menyelidiki lebih lanjut," ujar Upstream.

Berdasarkan data yang tercatat pada Secure-D, ada 19 negara yang terpengaruh, sebagian besar aktivitas yang terjadi di Brasil, Indonesia, Mesir, Thailand, Rusia dan Inggris.

Brasil menjadi negara yang paling parah terkena dampak dengan lebih dari 11,5 juta upaya transaksi penipuan yang berasal dari aplikasi.

“Seandainya transaksi penipuan tidak diblokir, pengguna Brasil bisa saja secara tidak sengaja dan tidak sadar dikenai biaya US$10,3 juta untuk layanan dan langganan yang tidak mereka beli,” tulis Upstream.

Masuk radar keamanan

VivaVideo sejak awal 2019 masuk radar keamanan karena penggunaan komponen perangkat lunak spyware untuk mengumpulkan data pengguna tanpa izin pengguna.

Aplikasi tersebut sering menduduki peringkat teratas Indeks Malware Seluler Secure-D. Upstream mengetahui hal tersebut setelah melakukan beberapa audit eksternal dan telah dikonfirmasi.

"Setelah menganalisis log monitor awal untuk aplikasi tersebut, kami akhirnya menyelidiki lebih lanjut sifat dan skala aktivitas penipuan yang dilakukan aplikasi ini di latar belakang," tulis Upstream.

Beberapa upaya klik dan beli melalui iklan palsu yang tak terlihat sebenarnya terjadi saat perangkat tidak digunakan. Jika upaya klik dan pembelian ini berhasil, pengiklan akan membayar komisi kepada afiliasi, yang pada gilirannya akan membayar pelaku kejahatan yang bertanggung jawab atas penipuan tersebut.

Berjalan di latar belakang

Upstream juga mengungkapkan, aplikasi ini juga berisi cuplikan kode yang memeriksa perangkat lunak spionase yang dipasang di perangkat pengguna.

VivaVideo berhenti menjalankan semua aktivitas latar belakang yang mencurigakan saat aplikasi pemantauan dipasang, “ini membuktikan bahwa penipu terus meningkatkan keterampilan dan alat yang mereka gunakan,” ujar Upstream.

“Cuplikan kode semacam itu adalah metode umum yang digunakan agar tetap tidak terdeteksi dalam hal penipuan iklan seluler.”

Hal lain yang mencurigakan, VivaVideo butuh izin otorisasi akses yang sebetulnya tidak diperlukan oleh aplikasi mengedit video seperti akses ke berbagai informasi sensitif seperti lokasi GPS, aplikasi yang sedang berjalan, dan banyak lagi.

"Permintaan izin semacam itu hampir tidak diperlukan agar aplikasi edit video dapat berjalan dengan baik,” ujar Upstream.

SDK penipuan iklan

Upstream juga menemukan VivaVideo versi lama berisi software development kit (SDK) penipuan iklan yang diketahui telah dilarang oleh Google, yaitu Batmobi SDK.

Batmobi merupakan SDK yang memanfaatkan izin pengguna untuk terlibat dalam injeksi klik dan banjir klik. Keduanya merupakan teknik penipuan iklan yang populer dan menyebabkan kerugian iklan yang besar.

Secara khusus, Batmobi diketahui merekam klik palsu dan mengirimkannya ke pengiklan untuk mengklaim hadiah untuk pemasangan aplikasi.

"Tim keamanan kami menemukan bahwa Batmobi SDK ada di versi VivaVideo sebelumnya, yang tidak lagi tersedia di Google Play,” tulis Upstream.

Apa yang harus dilakukan pengguna?

Berkaitan dengan hal tersebut, Upstream menyarankan pengguna hanya menggunakan VivaVideo yang berasal dari Google Play Store dan memperbaruinya versi terbaru. Hindari mengunduh dari sumber yang belum diverifikasi atau tautan langsung.

Namun, Upstream mengatakan, aplikasi seluler yang berasal dari sumber yang sah juga dapat disusupi oleh aktivitas jahat. Maka dari itu, sebelum memasang aplikasi yang baru di perangkatnya, pengguna disarankan untuk:

• Periksa ulasan aplikasi di pasar dan di seluruh web.
• Tinjau detail pengembang dan nilai kredibilitas mereka.
• Baca daftar izin yang diminta dan verifikasi bahwa semuanya benar-benar diperlukan agar aplikasi berfungsi.[]

Redaktur: Andi Nugroho