Malware Android Baru Manfaatkan AI untuk Klik Iklan Tersembunyi di Browser
Sebuah keluarga malware Android terbaru terungkap menggunakan kecerdasan buatan untuk melakukan penipuan iklan (click fraud) dengan cara yang jauh lebih canggih dibandingkan trojan sejenis sebelumnya. Malware ini memanfaatkan model machine learning berbasis TensorFlow untuk mendeteksi dan mengklik elemen iklan tersembunyi di dalam browser secara otomatis, tanpa mengandalkan skrip JavaScript statis atau manipulasi DOM seperti metode lama.
Penelitian ini diungkap oleh perusahaan keamanan mobile Dr.Web, yang menemukan bahwa mekanisme serangan didasarkan pada analisis visual. Alih-alih membaca struktur halaman web, malware mengambil tangkapan layar lalu menggunakan model AI untuk mengenali komponen iklan yang relevan dan berinteraksi dengannya, meniru perilaku pengguna manusia secara alami.
Beroperasi Diam-Diam Lewat Mode “Phantom”
Dalam salah satu modus operasinya yang disebut phantom, malware membuka halaman target menggunakan browser tersembunyi berbasis WebView. Browser ini berjalan di layar virtual yang tidak terlihat oleh pengguna. Setelah model AI dimuat dari server jarak jauh, sistem akan mengambil screenshot tampilan browser tersebut dan menganalisisnya untuk menemukan iklan yang dapat diklik.
Setelah elemen iklan teridentifikasi, malware melakukan sentuhan otomatis pada bagian yang tepat. Pendekatan ini dinilai sangat efektif karena iklan modern bersifat dinamis, sering berubah struktur, serta kerap menggunakan iframe atau video, sehingga sulit ditangani oleh metode click-fraud konvensional.
Selain itu, terdapat mode kedua bernama signalling yang memanfaatkan WebRTC untuk mengirim siaran langsung layar browser virtual ke penyerang. Dengan cara ini, operator malware dapat mengontrol aktivitas secara real-time, termasuk menggulir halaman, mengetik teks, hingga melakukan klik manual.
Disebar Lewat Toko Aplikasi dan APK Modifikasi
Peneliti menemukan bahwa malware ini didistribusikan melalui GetApps, toko aplikasi resmi untuk perangkat Xiaomi, serta melalui berbagai situs APK pihak ketiga. Modus penyebarannya terbilang licik, karena aplikasi awalnya diunggah dalam kondisi bersih, lalu menerima komponen berbahaya melalui pembaruan selanjutnya.
Sejumlah game yang teridentifikasi mengandung malware ini telah diunduh puluhan ribu kali. Selain itu, versi modifikasi aplikasi populer seperti Spotify, YouTube, Deezer, dan Netflix juga ditemukan telah disusupi, dan disebarkan melalui situs APK tidak resmi serta kanal Telegram dan Discord dengan puluhan ribu anggota.
Menariknya, sebagian aplikasi berbahaya tersebut tetap berfungsi sebagaimana mestinya. Hal ini membuat pengguna tidak curiga, terlebih karena aktivitas click-fraud dilakukan sepenuhnya di latar belakang tanpa tampilan visual apa pun di layar perangkat.
Dampak bagi Pengguna dan Imbauan Keamanan
Meski click-fraud tidak secara langsung mencuri data pribadi, aktivitas ini sangat menguntungkan bagi pelaku kejahatan siber. Bagi pengguna, dampaknya berupa konsumsi baterai berlebih, penurunan umur perangkat lebih cepat, serta potensi pemborosan kuota data seluler.
Pengguna Android disarankan untuk menghindari instalasi aplikasi di luar toko resmi, terutama versi modifikasi aplikasi populer yang menjanjikan fitur premium gratis. Kewaspadaan ekstra diperlukan, karena pendekatan berbasis AI yang digunakan malware ini membuat aktivitas berbahaya semakin sulit terdeteksi.
