PromptSpy Malware Gunakan Kecerdasan Buatan Gemini untuk Membajak dan Mengunci Perangkat Android Secara Canggih

PromptSpy adalah malware Android terbaru yang menunjukkan penggunaan kecerdasan buatan (AI) secara inovatif dalam serangannya. Malware ini memanfaatkan Google Gemini, sebuah teknologi AI, untuk mengendalikan perangkat secara otomatis dan sulit dihapus oleh korban.

Malware ini menjebak pengguna melalui aplikasi palsu yang meniru pembaruan sistem dalam bahasa Spanyol. Setelah terpasang, PromptSpy meminta izin akses layanan Aksesibilitas untuk mengontrol antarmuka perangkat tanpa sepengetahuan pengguna.

Bagaimana PromptSpy Memanfaatkan Gemini dan AI

PromptSpy mengirimkan snapshot layar perangkat dalam format XML ke layanan Gemini. Teknologi AI ini kemudian menganalisis elemen-elemen layar dan mengembalikan instruksi berupa gerakan ketukan, sapuan, dan tindakan lain yang harus dijalankan malware. Cara ini memastikan malware mampu mempertahankan keberadaannya dengan mengunci diri pada daftar aplikasi terakhir yang dibuka.

Para ahli keamanan dari ESET menyatakan ini adalah contoh pertama malware Android yang secara aktif menggunakan AI generatif untuk mengambil keputusan selama proses infeksi. AI memandu malware dalam berinteraksi dengan antarmuka sehingga sulit untuk dihapus secara manual.

Teknik Persistensi Canggih yang Digunakan PromptSpy

PromptSpy membuat overlay transparan di tombol uninstall atau hentikan aplikasi. Teknik ini menghalangi pengguna untuk menghapus malware dengan mudah. Pengguna yang ingin menghapus aplikasi harus memulai perangkat dalam Safe Mode agar proses uninstall berjalan tanpa gangguan.

Selain itu, malware ini dilengkapi modul VNC yang memungkinkan penyerang mengendalikan perangkat secara jarak jauh. Fitur ini memungkinkan pencurian kredensial layar kunci, perekaman gerakan pengguna, tangkapan layar, dan video aktivitas perangkat.

Komunikasi dan Keamanan Data

Seluruh komunikasi PromptSpy dengan server command-and-control (C2) dilakukan secara terenkripsi menggunakan AES. Enkripsi ini menjaga keamanan pengiriman kunci API Gemini dan instruksi lain yang diterima malware dari server pusat penyerang.

Fitur ini membantu menyembunyikan aktivitas malware dan meminimalkan deteksi dari sistem keamanan atau firewall. Meski tidak dipasang melalui Google Play Store, Google Play Protect dinilai mampu melindungi perangkat dari versi malware yang telah teridentifikasi.

Target dan Penyebaran Malware

Analisis kode menunjukkan bahwa PromptSpy dikembangkan dalam lingkungan penutur bahasa Tionghoa. Namun, vektor penyebarannya difokuskan pada pengguna di Amerika Selatan yang berbicara bahasa Spanyol—khususnya di Argentina.

Distribusi malware melalui aplikasi berbahasa Spanyol yang menyamar sebagai pembaruan sistem menargetkan pengguna agar secara tidak sadar menginstal payload berbahaya tersebut.

Langkah-langkah Keamanan untuk Pengguna Android

Berikut ini adalah beberapa langkah yang disarankan untuk melindungi perangkat dari jenis serangan seperti PromptSpy:

  1. Hindari menginstal aplikasi dari sumber tidak resmi atau tautan mencurigakan.
  2. Jangan memberikan izin Aksesibilitas kepada aplikasi kecuali benar-benar terpercaya.
  3. Pasang aplikasi keamanan dan perbarui sistem operasi secara berkala.
  4. Jika curiga ada aplikasi yang sulit dihapus, coba hapus dalam Safe Mode.
  5. Gunakan fitur Google Play Protect untuk deteksi malware otomatis.

Penggunaan teknologi AI dalam malware seperti PromptSpy memperlihatkan tren baru dalam dunia kejahatan siber. Pendekatan ini membuat malware semakin adaptif dan sulit dideteksi. Oleh karena itu, kewaspadaan pengguna dan pembaruan keamanan menjadi kunci utama dalam mencegah infeksi.

Dengan pemahaman lebih dalam terkait metode infeksi dan kemampuan AI dalam malware ini, pengguna dapat menjalankan langkah pencegahan yang lebih efektif. PromptSpy menjadi peringatan bahwa ancaman siber kini menggabungkan kecanggihan teknologi AI untuk mengoptimalkan serangan berbahaya pada perangkat Android.

Terkait