Skandal ‘FakeWallet’ di App Store: Bagaimana 26 Aplikasi Kripto Palsu Berhasil Menjarah Data Pengguna?

InfoNanti — Jagat maya kembali dikejutkan dengan temuan celah keamanan yang mengkhawatirkan di platform yang selama ini dianggap sebagai benteng digital paling tangguh. Laporan terbaru dari raksasa keamanan siber, Kaspersky, mengungkap bahwa setidaknya 26 aplikasi dompet kripto palsu berhasil menyusup ke dalam Apple App Store. Kehadiran aplikasi-aplikasi ini bukan sekadar gangguan teknis, melainkan sebuah kampanye terorganisir yang dirancang untuk menguras aset digital para pengguna yang kurang waspada.

Membongkar Kampanye ‘FakeWallet’ yang Terencana

Temuan yang dipublikasikan oleh tim riset Securelist dari Kaspersky ini menyoroti sebuah operasi canggih yang dijuluki sebagai kampanye “FakeWallet”. Para pelaku kejahatan siber ini tidak bekerja secara amatir; mereka menggunakan strategi yang sangat rapi untuk meniru identitas layanan dompet kripto populer. Beberapa nama besar yang menjadi sasaran kloning antara lain adalah MetaMask, Ledger, Trust Wallet, hingga Coinbase.

Baca Juga

Terobosan Finansial di Asia: Taiwan Pertimbangkan Bitcoin Sebagai Komponen Cadangan Devisa Negara

Bagi para penggiat investasi kripto, nama-nama tersebut adalah standar industri yang sangat tepercaya. Namun, justru kepercayaan inilah yang dieksploitasi oleh para peretas. Dengan menduplikasi visual, logo, dan antarmuka pengguna semirip mungkin dengan aslinya, aplikasi-aplikasi berbahaya ini mampu menipu mata bahkan pengguna yang sudah terbiasa dengan ekosistem blockchain sekalipun.

Modus Operandi: Strategi Kuda Troya di Era Digital

Bagaimana aplikasi ini bisa lolos dari kurasi ketat Apple yang terkenal sangat selektif? Para peneliti menemukan bahwa pelaku menggunakan teknik typosquatting—menggunakan nama yang sangat mirip dengan sedikit perbedaan ejaan—serta menyamar di balik identitas aplikasi lain yang tampak tidak berbahaya. Beberapa aplikasi palsu ini awalnya muncul di toko aplikasi sebagai kalkulator sederhana atau game ringan untuk mengelabui sistem penyaringan otomatis milik App Store.

Baca Juga

Optimisme Tanpa Batas: Tim Draper dan Anthony Scaramucci Ramalkan Bitcoin Tembus Miliaran Rupiah

Namun, bahaya yang sesungguhnya dimulai setelah aplikasi tersebut terpasang di perangkat korban. Alih-alih langsung melakukan aksi pencurian data, aplikasi ini bekerja secara bertahap. Pengguna akan diarahkan ke sebuah halaman phishing yang dirancang khusus agar terlihat seperti halaman autentik resmi Apple. Di titik inilah, manipulasi psikologis atau social engineering mulai bermain.

Pemanfaatan ‘Provisioning Profiles’ iOS

Salah satu temuan paling mengejutkan dari riset ini adalah penggunaan metode provisioning profiles iOS. Ini adalah jalur distribusi aplikasi yang biasanya digunakan oleh perusahaan atau pengembang untuk menguji aplikasi secara internal tanpa melalui jalur publik App Store. Dengan membujuk pengguna untuk menginstal profil ini, pelaku dapat menyisipkan malware yang memiliki akses lebih dalam ke sistem operasi perangkat.

Baca Juga

Update Harga Kripto 29 April 2026: Bitcoin Melemah Saat Altcoin Mulai Unjuk Gigi, Akankah Dominasi Terus Tergerus?

Sergey Puzan, seorang peneliti ancaman di Kaspersky, menjelaskan bahwa skema ini sangat berbahaya karena memanfaatkan akun developer resmi yang dibayar oleh pelaku. “Dengan membayar biaya langganan dan membuat akun pengembang, para pelaku memiliki alat yang sah untuk menargetkan perangkat iOS mana pun jika pengguna terjebak dalam jebakan awal mereka,” ujarnya.

Target Utama: Recovery Phrase yang Tak Ternilai

Tujuan akhir dari semua kerumitan teknis ini adalah satu hal: mendapatkan recovery phrase atau kunci privat milik pengguna. Dalam dunia teknologi blockchain, siapa pun yang memegang 12 atau 24 kata rahasia ini secara otomatis memiliki kendali penuh atas seluruh isi dompet digital tersebut.

Sekali kunci ini jatuh ke tangan yang salah, aset digital seperti Bitcoin, Ethereum, atau Stablecoin dapat dipindahkan dalam hitungan detik tanpa ada kemungkinan untuk dibatalkan. Mengingat sifat transaksi blockchain yang ireversibel, korban hampir tidak memiliki peluang untuk mendapatkan kembali dana mereka setelah dicuri melalui aplikasi palsu semacam ini.

Baca Juga

Geliat Pasar Kripto 2026: Bitcoin Kokoh di Level $76.000, Raksasa Finansial Charles Schwab Mulai ‘Terjun Bebas’ ke Aset Digital

Respons Apple dan Statistik Keamanan yang Dipertanyakan

Menanggapi laporan yang meresahkan ini, pihak Apple dilaporkan telah bertindak cepat dengan menghapus 25 dari 26 aplikasi berbahaya tersebut sebelum laporan Kaspersky dipublikasikan secara luas. Aplikasi terakhir serta akun pengembang yang terkait juga telah ditutup secara permanen. Meski demikian, fakta bahwa puluhan aplikasi palsu ini sempat bertengger di App Store menimbulkan pertanyaan besar mengenai efektivitas proses peninjauan aplikasi mereka.

Berdasarkan data internal, sepanjang tahun 2024, Apple sebenarnya telah meninjau lebih dari 7,7 juta aplikasi dan menolak sekitar 1,9 juta di antaranya karena berbagai pelanggaran. Bahkan, perusahaan pimpinan Tim Cook tersebut mengklaim telah menghapus lebih dari 37.000 aplikasi yang terindikasi melakukan aktivitas penipuan. Namun, kasus “FakeWallet” membuktikan bahwa keamanan siber adalah perlombaan senjata yang terus berlanjut, di mana pelaku selalu mencari celah terkecil untuk masuk.

Konteks Regional: Mengapa Pengguna di Asia Lebih Rentan?

Kampanye ini ditemukan memiliki dampak yang cukup signifikan di wilayah tertentu, terutama China. Di negara tersebut, banyak aplikasi dompet kripto resmi yang tidak tersedia secara legal di App Store regional karena regulasi pemerintah yang ketat. Kesenjangan ini menciptakan peluang bagi para penipu untuk mengisi kekosongan dengan menyediakan aplikasi palsu yang dicari oleh pengguna lokal.

Hingga saat ini, belum ada data pasti mengenai berapa total kerugian finansial yang ditimbulkan oleh kampanye ini. Namun, mengingat kampanye ini dilaporkan telah berjalan sejak musim gugur 2025, diperkirakan jumlah korban dan total aset digital yang berhasil dikuras tidaklah sedikit.

Tips Melindungi Diri dari Ancaman Dompet Kripto Palsu

Sebagai langkah antisipasi, InfoNanti merangkum beberapa tips penting bagi Anda yang aktif dalam ekosistem kripto agar terhindar dari jebakan serupa:

• Verifikasi Pengembang: Sebelum mengunduh aplikasi dompet kripto, selalu periksa siapa pengembang resminya. Jangan hanya mengandalkan logo atau nama aplikasi.
• Gunakan Tautan Resmi: Selalu unduh aplikasi melalui tautan yang disediakan langsung di situs web resmi penyedia dompet (misalnya melalui metamask.io atau ledger.com).
• Waspadai Permintaan Tak Lazim: Jangan pernah memberikan recovery phrase atau private key Anda pada platform, situs, atau aplikasi apa pun yang memintanya secara tiba-tiba.
• Gunakan Hardware Wallet: Untuk penyimpanan aset jangka panjang dengan jumlah besar, penggunaan cold storage atau dompet perangkat keras tetap menjadi pilihan paling aman.
• Perbarui Sistem Operasi: Selalu pastikan perangkat iOS Anda menjalankan versi terbaru untuk mendapatkan tambalan keamanan terkini dari Apple.

Kesimpulannya, meskipun platform besar seperti App Store menawarkan lapisan perlindungan, kewaspadaan individu tetap menjadi pertahanan terdepan. Dunia kripto yang desentralistik menuntut tanggung jawab penuh dari pemilik aset. Tetaplah terinformasi melalui sumber tepercaya dan selalu lakukan riset mandiri sebelum mengambil keputusan investasi atau teknis terkait aset berharga Anda.