Jangan Klik! Update Palsu Ini Bisa Bikin WhatsApp Kamu Disadap Spyware

Foto: hohwstuffworks

Teknologi.id – Pengguna ponsel pintar Android diimbau untuk lebih berhati-hati saat menerima pesan yang meminta pembaruan (update) sistem atau aplikasi. Pasalnya, para peneliti keamanan siber baru-baru ini menemukan spyware (perangkat lunak mata-mata) bernama Morpheus yang bisa mengakses isi percakapan WhatsApp setelah pengguna tanpa sadar menginstal aplikasi berbahaya berkedok pembaruan sistem.

Temuan ini pertama kali diungkap oleh organisasi hak digital asal Italia, Osservatorio Nessuno. Dalam laporannya, Morpheus diklasifikasikan sebagai malware yang menyamar sebagai aplikasi resmi (spoofing) dan mampu mencuri berbagai data krusial, mulai dari aktivitas layar hingga akses ke aplikasi pesan instan.

Apa Itu Morpheus dan Dari Mana Asalnya?

Foto: Getty Images

Morpheus adalah spyware yang dirancang khusus untuk memantau aktivitas pengguna perangkat Android. Peneliti mengaitkan program berbahaya ini dengan perusahaan asal Italia bernama IPS, yang telah beroperasi lebih dari 30 tahun sebagai penyedia teknologi lawful interception (penyadapan sah).

Teknologi seperti ini umumnya dijual kepada pemerintah atau aparat penegak hukum di lebih dari 20 negara untuk memantau komunikasi secara real-time. Namun, selalu ada risiko teknologi ini disalahgunakan untuk menargetkan pihak-pihak tertentu di luar ranah hukum, seperti jurnalis atau aktivis.

Baca juga: Hati-hati Menghapus File Msgstore WhatsApp, Ini Risikonya

Cara Kerja Morpheus: Memanfaatkan Rekayasa Sosial

Berbeda dengan malware canggih yang bekerja diam-diam dari awal, Morpheus sangat bergantung pada keteledoran korbannya (social engineering). Dalam salah satu skenario yang diamati peneliti, berikut adalah alur bagaimana spyware ini mengelabui korban:

1. Manipulasi Jaringan: Penyerang sering kali mengganggu koneksi data seluler korban terlebih dahulu (misalnya memblokir jaringan).

2. Kirim SMS Palsu: Korban menerima SMS yang seolah-olah dikirim oleh operator seluler, berisi tautan (link) untuk mengunduh aplikasi “pembaruan sistem” agar jaringan kembali normal.

3. Penyalahgunaan Aksesibilitas: Saat korban terpancing menginstal aplikasi tersebut, spyware akan meminta izin Aksesibilitas (Accessibility) di Android. Fitur bawaan ini justru disalahgunakan untuk membaca isi layar secara penuh dan berinteraksi dengan aplikasi lain.

4. Tipuan Layar Reboot: Layar akan menampilkan proses pembaruan palsu seolah ponsel sedang di-restart.

5. Pembajakan WhatsApp: Setelah itu, spyware menyamar menjadi layar WhatsApp. Dalam beberapa kasus, korban akan diminta memasukkan PIN atau verifikasi biometrik. Akses inilah yang kemudian digunakan pelaku untuk menambahkan perangkat baru ke akun korban, sehingga mereka bisa membaca obrolan WhatsApp secara real-time.

Morpheus: “Pegasus” Versi Murah

Secara peruntukan, banyak pihak yang menyamakan Morpheus dengan Pegasus (buatan NSO Group) karena tujuan akhirnya yang sama-sama untuk memata-matai. Namun, level kecanggihannya berbeda.

Morpheus dikategorikan sebagai spyware “low cost” (murah) karena masih mengandalkan metode sederhana, yakni menipu korban agar menginstalnya sendiri. Sementara itu, Pegasus dikenal menggunakan teknik zero-click attack—yakni mampu meretas ponsel target tanpa korban harus mengeklik tautan atau melakukan interaksi apa pun.

Baca juga: Orang Tua Wajib Tahu! Cara Pantau WhatsApp Anak dari Kontak Asing

5 Tips Mencegah Serangan Spyware Morpheus

Mengingat Morpheus membutuhkan bantuan dari penggunanya sendiri untuk bisa terinstal, serangan ini sangat bisa dicegah. Pakar keamanan siber dari Vaksincom, Alfons Tanujaya, membagikan lima langkah antisipasi:

• Hindari Aplikasi Luar Play Store: Morpheus tidak tersedia di Google Play Store. Jangan pernah menginstal file APK dari sumber yang tidak jelas.

• Abaikan SMS Update: Pembaruan sistem Android resmi hanya datang dari menu Settings > Software Update, bukan melalui SMS atau tautan web apa pun.

• Blokir Instalasi Tak Dikenal: Pastikan fitur izin instalasi dari luar dimatikan. Masuk ke Settings > Apps > Special Access > Install unknown apps, lalu pastikan semuanya dibatasi (deny all / not allowed).

• Aktifkan Verifikasi Dua Langkah (2FA) di WhatsApp: Fitur ini (Two-Step Verification) memberikan perlindungan PIN tambahan. Jika WhatsApp telanjur disusupi, pembajak tidak akan bisa membuka aplikasi tanpa PIN yang Anda buat.

• Rutin Cek “Linked Devices”: Buka WhatsApp Anda, masuk ke menu Linked Devices (Perangkat Taut). Pastikan tidak ada perangkat asing yang terhubung ke akun Anda.

Baca berita dan artikel lainnya di Google News

(WN/ZA)