Siapa sangka, aplikasi yang katanya "tidak terdeteksi" justru bikin repot penggunanya? Sebuah spyware Android bernama Catwatchful ketahuan punya celah keamanan. Ironisnya, celah ini membongkar data ribuan pelanggannya, termasuk sang administrator sendiri. Jadi, intinya, stalkerware ini ketahuan belangnya.
Catwatchful: Mata-Mata Digital yang Ketahuan Ngintip
Catwatchful ini menyamar sebagai aplikasi parental control padahal kerjanya stalking. Aplikasi ini mengklaim diri "tidak terlihat", padahal diam-diam mengunggah semua data korban ke dashboard yang bisa diakses oleh si pemasang aplikasi. Data yang dicuri termasuk foto, pesan, bahkan lokasi real-time. Parahnya lagi, aplikasi ini bisa menyadap suara dari mikrofon dan mengakses kamera depan-belakang. Bayangkan, seperti punya mata-mata pribadi yang creepy.
Aplikasi mata-mata seperti Catwatchful ini dilarang di app store. Mereka mengandalkan pengguna yang punya akses fisik ke ponsel korban untuk mengunduh dan memasang aplikasi tersebut. Makanya, aplikasi ini sering disebut "stalkerware" atau "spouseware" karena sering dipakai untuk memata-matai pasangan tanpa izin. Hal ini jelas ilegal, dan lebih dari sekadar masalah etika.
Catwatchful hanyalah salah satu contoh terbaru dari daftar panjang operasi stalkerware yang diretas, datanya bocor, atau ketahuan praktik kotornya. Celakanya, ini bukan pertama kalinya stalkerware kebobolan. Insiden ini menunjukkan bahwa spyware murahan masih marak beredar, padahal rentan terhadap kode yang buruk dan kegagalan keamanan yang membahayakan pelanggan dan korban.
Menurut salinan database Catwatchful dari awal Juni, terdapat alamat email dan plaintext password lebih dari 62.000 pelanggan dan data dari 26.000 perangkat korban. Kebayang kan, betapa banyak data sensitif yang terekspos? Ini bukan lagi sekadar masalah privasi, tapi sudah masuk ranah keamanan data pribadi.
Kebanyakan perangkat yang terkompromi berlokasi di Meksiko, Kolombia, India, Peru, Argentina, Ekuador, dan Bolivia. Beberapa catatan bahkan berasal dari tahun 2018. Bisa dibilang, Catwatchful ini sudah lama beroperasi dan menimbulkan banyak korban.
Database Catwatchful juga mengungkap identitas administrator spyware ini, yaitu Omar Soca Charcov, seorang developer yang berbasis di Uruguay. Ironisnya, Charcov membaca email permintaan komentar dari TechCrunch, tapi tidak membalasnya. Mungkin dia sibuk uninstall aplikasi di device-nya sendiri.
Google Ikut Kecipratan: Data Spyware Numpang di Server Mereka?
Seorang peneliti keamanan, Eric Daigle, menemukan bahwa Catwatchful menggunakan API khusus untuk berkomunikasi dengan server-nya. Yang lebih mengejutkan, spyware ini juga menggunakan Google Firebase, sebuah platform pengembangan web dan mobile, untuk menyimpan data curian korban, termasuk foto dan rekaman suara. Jadi, secara tidak langsung, Google ikut kecipratan masalah ini.
Daigle menjelaskan bahwa API tersebut tidak diautentikasi, sehingga siapa pun di internet bisa berinteraksi dengan database pengguna Catwatchful tanpa login. Kebayang kan, betapa rentannya data tersebut? Ibarat rumah tanpa kunci, siapa saja bisa masuk dan mengambil barang berharga.
TechCrunch mengonfirmasi bahwa Catwatchful menggunakan Firebase dengan mengunduh dan memasang spyware tersebut di perangkat Android virtual. Mereka memeriksa network traffic dan menemukan data dari ponsel yang diunggah ke instance Firebase tertentu yang digunakan oleh Catwatchful. Jadi, bukti sudah jelas terpampang nyata.
Setelah TechCrunch memberikan salinan malware Catwatchful ke Google, Google menambahkan perlindungan baru untuk Google Play Protect. Sekarang, Google Play Protect akan memperingatkan pengguna jika mendeteksi spyware Catwatchful atau installer-nya di ponsel mereka. Lumayanlah, ada effort untuk memberantas stalkerware.
Jurus Ampuh Bongkar Identitas Admin Spyware
Seperti banyak operasi spyware lainnya, Catwatchful tidak mencantumkan pemilik atau siapa yang menjalankan operasinya. Hal ini umum dilakukan oleh operator stalkerware karena risiko hukum dan reputasi yang terkait dengan memfasilitasi pengawasan ilegal. Mereka lebih suka bersembunyi di balik layar, memainkan peran sebagai dalang kejahatan.
Namun, kesalahan operasional dalam dataset mengungkap Charcov sebagai administrator operasi tersebut. Review database Catwatchful mencantumkan Charcov sebagai catatan pertama di salah satu file dalam dataset. (Dalam kebocoran data terkait spyware sebelumnya, beberapa operator telah diidentifikasi melalui catatan awal dalam database, karena seringkali para developer menguji produk spyware pada perangkat mereka sendiri.)
Dataset tersebut mencakup nama lengkap, nomor telepon, dan alamat web instance Firebase tempat database Catwatchful disimpan di server Google. Alamat email pribadi Charcov, yang ditemukan dalam dataset, sama dengan email yang dia cantumkan di halaman LinkedIn-nya. Charcov juga mengonfigurasi alamat email administrator Catwatchful sebagai alamat pemulihan password pada akun email pribadinya. Ini bukti kuat yang menghubungkan Charcov dengan operasi Catwatchful.
Cara Ampuh Usir Catwatchful dari Ponselmu
Meskipun Catwatchful mengklaim "tidak dapat dihapus", ada cara untuk mendeteksi dan menghapus aplikasi tersebut dari perangkat yang terinfeksi. Namun, sebelum memulai, penting untuk memiliki safety plan karena menonaktifkan spyware dapat memperingatkan orang yang memasangnya.
Pengguna Android dapat mendeteksi Catwatchful, meskipun disembunyikan, dengan mengetik 543210 ke keypad aplikasi telepon Android dan kemudian menekan tombol panggil. Jika Catwatchful terpasang, aplikasi tersebut akan muncul di layar. Kode ini adalah backdoor bawaan yang memungkinkan siapa pun yang memasang aplikasi untuk mendapatkan kembali akses ke pengaturan setelah aplikasi disembunyikan. Kode ini juga dapat digunakan oleh siapa pun untuk melihat apakah aplikasi tersebut terpasang.
Untuk menghapus aplikasi, kamu bisa mencari panduan umum tentang cara menghapus spyware Android yang dapat membantu mengidentifikasi dan menghapus jenis stalkerware telepon yang umum. Aktifkan berbagai pengaturan yang diperlukan untuk mengamankan perangkat Android.
Intinya: Waspadalah terhadap aplikasi mencurigakan, lindungi data pribadimu, dan jangan sampai jadi korban stalkerware! Kalau curiga ada yang aneh dengan gadget-mu, jangan ragu untuk periksa dan segera ambil tindakan. Lebih baik mencegah daripada mengobati, kan?
