Canggih dan Berbahaya, Malware Android Pakai AI

Di tengah pesatnya perkembangan kecerdasan buatan, dunia keamanan siber kembali dikejutkan oleh temuan terbaru. Peneliti menemukan malware Android yang untuk pertama kalinya memanfaatkan AI generatif guna memperkuat daya tahannya di perangkat korban. Malware tersebut diberi nama PromptSpy dan disebut sebagai contoh nyata bagaimana teknologi canggih seperti AI bisa disalahgunakan untuk tujuan kriminal.

Temuan ini diungkap oleh perusahaan keamanan siber ESET. Dalam laporannya, ESET menjelaskan bahwa PromptSpy bukan sekadar malware biasa. Ia dirancang dengan kemampuan canggih, termasuk mencuri data layar kunci (lockscreen), menghalangi upaya penghapusan aplikasi, mengumpulkan informasi perangkat, mengambil tangkapan layar, hingga merekam aktivitas layar dalam bentuk video.

Yang membuat PromptSpy berbeda adalah cara kerjanya. Malware ini menyalahgunakan Gemini, chatbot AI generatif milik Google, sebagai bagian dari alur operasinya. AI tersebut digunakan untuk membantu malware tetap bertahan di daftar aplikasi terbaru (recent apps), sehingga tidak mudah ditutup atau dihentikan oleh sistem.

Peneliti ESET, Lukáš Štefanko, menjelaskan bahwa Gemini dimanfaatkan untuk menganalisis tampilan layar secara langsung dan memberikan instruksi langkah demi langkah kepada malware. Dengan bantuan AI, PromptSpy dapat memastikan dirinya tetap “terkunci” di daftar recent apps. Artinya, pengguna tidak bisa dengan mudah menghapusnya hanya dengan menggeser aplikasi dari daftar tersebut.

AI Jadi “Otak” Navigasi Malware

Secara teknis, pelaku ancaman menanamkan model AI dan prompt khusus langsung ke dalam kode malware. AI tersebut diberi peran sebagai “asisten otomatisasi Android.” PromptSpy kemudian mengirimkan perintah dalam bahasa alami ke Gemini, disertai data XML dari layar aktif.

Data XML ini berisi detail lengkap tentang elemen user interface (UI), termasuk teks yang tampil, jenis tombol atau kolom, serta posisi persisnya di layar. Berdasarkan informasi itu, Gemini memberikan respons dalam format JSON yang berisi instruksi tindakan—misalnya mengetuk tombol tertentu di koordinat tertentu.

Proses ini dilakukan berulang kali hingga malware berhasil mengamankan posisinya di daftar recent apps. Pendekatan ini jauh lebih fleksibel dibanding metode lama yang biasanya mengandalkan koordinat tetap (hardcoded). Jika tata letak layar berubah karena perbedaan perangkat atau versi sistem operasi, malware konvensional bisa gagal. Namun dengan AI, PromptSpy mampu beradaptasi dengan hampir semua variasi tampilan.

Inilah yang membuat ancaman ini berbahaya. AI memungkinkan malware memahami konteks visual dan mengambil keputusan secara dinamis, layaknya pengguna manusia.

Membuka Akses Jarak Jauh ke Perangkat

Tujuan utama PromptSpy adalah mengaktifkan modul VNC (Virtual Network Computing) bawaan. Dengan modul ini, penyerang dapat memperoleh akses jarak jauh penuh ke perangkat korban.

Tak hanya itu, malware juga menyalahgunakan layanan aksesibilitas Android. Fitur ini sejatinya dirancang untuk membantu pengguna dengan kebutuhan khusus. Namun, dalam kasus PromptSpy, layanan tersebut dipakai untuk:

• Mencegah aplikasi dihapus dengan menampilkan overlay tak terlihat.
• Menjalankan perintah tanpa interaksi pengguna.
• Mengendalikan perangkat secara diam-diam.

PromptSpy terhubung ke server command-and-control (C2) yang telah ditanamkan dalam kode, menggunakan protokol VNC. Melalui koneksi ini, penyerang dapat mengirimkan berbagai perintah, termasuk meminta tangkapan layar, merekam aktivitas layar, hingga mencuri PIN atau kata sandi layar kunci.

Semua aksi tersebut dijalankan melalui layanan aksesibilitas, sehingga korban tidak menyadari adanya aktivitas mencurigakan. Malware juga dapat merekam pola buka kunci (pattern unlock) dalam bentuk video, sehingga kredensial korban bisa direkonstruksi oleh pelaku.

Diduga Menargetkan Argentina

Berdasarkan analisis bahasa dan metode distribusi, kampanye ini diduga bermotif finansial dan menargetkan pengguna di Argentina. Hal ini terlihat dari penggunaan bahasa Spanyol dalam umpan yang ditampilkan kepada korban.

Menariknya, ditemukan pula indikasi bahwa malware dikembangkan di lingkungan berbahasa Mandarin. Hal itu diketahui dari string debug dalam bahasa Mandarin Sederhana yang tertanam di dalam kode.

Menurut ESET, PromptSpy tidak pernah tersedia di Google Play. Penyebarannya dilakukan melalui situs web khusus yang menyajikan aplikasi dropper. Situs tersebut menyamar sebagai JPMorgan Chase dengan nama “MorganArg,” merujuk pada Morgan Argentina.

Korban yang mengakses situs tersebut diminta menginstal aplikasi dari sumber tidak dikenal. Setelah dipasang, dropper akan mengunduh file APK tambahan yang disebut sebagai “pembaruan aplikasi.” Padahal, file tersebut adalah malware PromptSpy.

PromptSpy juga dinilai sebagai versi lebih canggih dari malware lain bernama VNCSpy, yang sebelumnya terdeteksi di platform VirusTotal dari Hong Kong.

Evolusi Ancaman Berbasis AI

Kasus PromptSpy menjadi bukti bahwa pelaku kejahatan siber mulai mengintegrasikan AI ke dalam operasi mereka. Dengan AI generatif, malware dapat mengotomatiskan navigasi UI yang sebelumnya harus diprogram secara manual. Ini membuka kemungkinan serangan yang lebih adaptif dan sulit dideteksi.

Karena PromptSpy menggunakan overlay tak terlihat untuk melindungi dirinya, satu-satunya cara efektif menghapusnya adalah dengan memulai ulang perangkat dalam Safe Mode. Dalam mode ini, aplikasi pihak ketiga dinonaktifkan sehingga bisa dihapus secara manual.

Melansir dari The Hacker News, pihak Google menyatakan belum menemukan bukti bahwa PromptSpy didistribusikan melalui Google Play. Google juga menegaskan bahwa Google Play Protect aktif secara default pada perangkat Android dengan Google Play Services, dan mampu memperingatkan atau memblokir aplikasi berbahaya, bahkan jika berasal dari luar toko resmi.

Meski demikian, kemunculan PromptSpy menjadi peringatan serius. Kecerdasan buatan memang membawa banyak manfaat, tetapi di tangan yang salah, teknologi ini dapat meningkatkan skala dan efektivitas serangan siber.

Para pengguna Android diimbau untuk tidak menginstal aplikasi dari sumber tidak resmi, selalu memperbarui sistem operasi, dan memastikan fitur keamanan seperti Play Protect tetap aktif. Di era AI, kewaspadaan digital menjadi kunci utama agar tidak menjadi korban evolusi ancaman yang semakin cerdas dan tersembunyi.