Popularitas kecerdasan buatan (Artificial Intelligence - AI) telah menciptakan ancaman keamanan siber tak terduga: eksploitasi melalui aplikasi seluler palsu yang menyamar sebagai ChatGPT. Penelitian keamanan terbaru mengungkap bahwa aplikasi berbahaya nan canggih ini dirancang untuk memanen data sensitif pengguna dan memantau aktivitas digital tanpa izin.

Aplikasi penipuan (fraudulent) ini menyusup ke toko aplikasi pihak ketiga, secara spesifik menargetkan pengguna yang mencari akses cepat ke chatbot bertenaga AI.

Aplikasi-aplikasi berbahaya ini menggunakan teknik branding yang meyakinkan, meniru antarmuka ChatGPT yang otentik, lengkap dengan logo yang mudah dikenali dan desain yang fungsional. Setelah diinstal, aplikasi trojanized ini menjalankan rutinitas pengawasan tersembunyi sambil mempertahankan penampilan sebagai asisten AI yang berfungsi normal.

Analis dari Appknox mengidentifikasi klon ChatGPT berbahaya ini selama penelitian keamanan seluler. Mereka menemukan bahwa para pelaku ancaman memanfaatkan kepercayaan terhadap merek sebagai vektor serangan, mengeksploitasi popularitas ChatGPT untuk menyusupi perangkat pengguna.

Analisis teknis menunjukkan bahwa malware ini memiliki kerangka kerja pengawasan penuh yang mampu melakukan pengawasan persisten dan pencurian kredensial.

Baca Juga: Tren Baru Serangan Siber: Peretas Tinggalkan Malware Canggih, Lebih Suka Curi Data Login!

Salah satu aspek paling canggih dari serangan ini adalah cara malware menghindari deteksi keamanan. Pemeriksaan teknis menunjukkan adanya komunikasi jaringan yang disamarkan melalui teknik domain fronting, menggunakan infrastruktur cloud yang sah dari Amazon Web Services (AWS) dan Google Cloud.

Teknik obfuscation yang canggih ini memungkinkan lalu lintas berbahaya bercampur dengan komunikasi normal, sehingga berhasil mengelabui sistem deteksi keamanan tradisional.

Penyebaran malware dimulai dengan tampilan daftar toko aplikasi yang menarik, lengkap dengan grafik dan deskripsi yang menjanjikan fungsionalitas ChatGPT yang ditingkatkan. Saat instalasi, aplikasi berbahaya ini meminta izin yang luas, termasuk akses ke SMS, basis data kontak, log panggilan, dan kredensial akun.

Permintaan izin yang tampak sah ini menyamarkan kemampuan pengawasan sejati mereka. Payload berbahaya dienkripsi menggunakan packer Ijiami, dan paket yang didekompilasi menunjukkan folder yang berisi executable yang terdekripsi setelah instalasi—sebuah tanda khas dari trojan loader.

Malware ini juga mempertahankan persistensi melalui pustaka native yang tertanam, memastikan eksekusi latar belakang terus berjalan bahkan setelah pengguna menutup antarmuka.

Log jaringan menunjukkan eksfiltrasi data yang sistematis, menargetkan:

• Kata sandi satu kali (OTP).
• Kode verifikasi perbankan.
• Isi buku alamat.

Kredensial yang dicuri memungkinkan penyerang untuk mencegat autentikasi multifaktor (Multi-Factor Authentication - MFA) dan menyusup ke sistem perusahaan. Para peneliti mencatat teknik ini sejajar dengan spyware yang telah dikenal luas, termasuk Triout dan AndroRAT.