Dalam laporan yang dirilis awal bulan ini, penyedia keamanan siber Malwarebytes menemukan sebuah aplikasi tipu-tiru bernama Mobdro Pro IPTV + VPN yang menyamar sebagai layanan streaming plus VPN.
Namun sesungguhnya memasang trojan perbankan bernama Klopatra yang memungkinkan pelaku "mengambil alih perangkat korban dan menguras rekeningnya".
Tidak hanya kasus tunggal. Bahkan dalam Google Advisory penipuan yang diterbitkan akhir November 2025, Google secara resmi memperingatkan pengguna Android agar hanya mengunduh aplikasi VPN dari sumber resmi dan menegaskan bahwa “aplikasi yang seharusnya melindungi Anda justru bisa menjadi alat untuk mencuri data dan menginstal malware”.
Modus Operasi: Dari Iklan “Gratis” Hingga Instalasi Gelap
Menurut Malwarebytes, rangkaian serangan dimulai dengan pengguna yang tertarik pada layanan gratis atau akses streaming “terbuka” lalu diarahkan ke situs sideload (instal dari luar toko resmi).Setelah aplikasi terpasang, Klopatra bekerja lewat chain infeksi khusus yang berhasil melewati proteksi Android. “Efektivitas Klopatra terletak pada rantai infeksi yang dirancang sedemikian rupa, dimulai dari rekayasa sosial dan berakhir dengan kendali penuh perangkat korban,” tulis peneliti.
Sementara itu, Google mencatat bahwa banyak aplikasi VPN palsu menggunakan taktik seperti menyamar sebagai merek terkenal, memikat lewat iklan sensitif, dan meminta izin berlebihan seperti akses ke kontak, SMS, lokasi, padahal VPN normal tidak perlu izin tersebut.
Dampak terhadap Pengguna: Privasi, Keuangan, dan Keamanan
Dampak dari penggunaan VPN palsu bisa sangat luas. Mulai dari pencurian data login, akses percakapan pribadi, hingga kontrol jarak jauh terhadap perangkat.Dalam satu kasus yang diterangkan Malwarebytes, perangkat yang “diambil alih” memungkinkan pelaku melakukan transaksi keuangan tanpa sepengetahuan pemilik.
Malwarebytes
Google juga menegaskan bahwa mayoritas korban barangkali tidak sadar mereka menggunakan aplikasi berbahaya karena tampak seperti layanan VPN legal. Hal ini membuat ancaman “membalik” tujuan pengguna: bukannya aman, malah terpapar secara langsung.
Cara Cek dan Lindungi Diri dari VPN Palsu
Untuk menjaga keamanan, ada beberapa langkah konkret yang bisa dilakukan pengguna:-Unduh dari toko resmi (Google Play atau App Store) dan pastikan pengembangnya tepercaya, hindari situs sideload.
-Periksa izin aplikasi: VPN seharusnya tidak meminta akses SMS, kontak, atau kamera serta izin seperti ini patut dicurigai.
-Waspadai klaim “gratis selamanya” atau “premium tanpa bayar” karena banyak VPN palsu menggunakan iming-iming tersebut sebagai umpan2.
-Gunakan layanan VPN berbayar dan sudah diaudit, layanan populer dan berbayar cenderung memiliki reputasi dan audit keamanan yang jelas.
-Perbarui sistem operasi dan aplikasi secara rutin, banyak malware memanfaatkan celah keamanan lama untuk masuk.
Cek Berita dan Artikel yang lain di
Google News
Viral! 18 Kampus ternama memberikan beasiswa full sampai lulus untuk S1 dan S2 di Beasiswa OSC. Info lebih lengkap klik : osc.medcom.id
