برنامج PromptSpy الخبيث لنظام Android

اكتشف باحثو الأمن السيبراني ما يُعتقد أنه أول برمجية خبيثة تستهدف نظام أندرويد، وتستغلّ "جيميني"، روبوت الدردشة المدعوم بالذكاء الاصطناعي من جوجل، كجزء من عملياتها التشغيلية. ويُدمج هذا التهديد المكتشف حديثًا، والذي أُطلق عليه اسم "برومبت سباي"، عملية اتخاذ القرارات المدعومة بالذكاء الاصطناعي في سلسلة تنفيذه واستراتيجية استمراريته.

تم تصميم برنامج PromptSpy الخبيث بقدرات مراقبة وتحكم واسعة النطاق. تشمل وظائفه جمع بيانات اعتماد شاشة القفل، ومنع محاولات إلغاء التثبيت، وجمع معلومات تفصيلية عن الجهاز، والتقاط لقطات شاشة، وتسجيل النشاط على الشاشة كفيديو. الهدف الرئيسي للبرنامج الخبيث هو نشر وحدة VNC مدمجة، مما يمنح المهاجمين إمكانية الوصول عن بُعد إلى الأجهزة المخترقة.

الذكاء الاصطناعي كمحرك للأتمتة: كيف يُمكّن نظام جيميني من الاستمرارية

على عكس برامج أندرويد الخبيثة التقليدية التي تعتمد على مسارات تنقل محددة مسبقًا في واجهة المستخدم، تستخدم PromptSpy الذكاء الاصطناعي التوليدي لتفسير شاشات الجهاز والتفاعل معها ديناميكيًا. من خلال تضمين نموذج ذكاء اصطناعي مُبرمج مسبقًا وموجه أوامر، تُسند البرمجية الخبيثة إلى وكيل الذكاء الاصطناعي دور "مساعد أتمتة أندرويد".

تتضمن عملية الإصابة إرسال رسالة نصية بلغة طبيعية إلى برنامج Gemini، بالإضافة إلى ملف XML يحتوي على بيانات تفصيلية عن كل عنصر من عناصر واجهة المستخدم، بما في ذلك تسميات النصوص وأنواع العناصر وإحداثياتها الدقيقة على الشاشة. يقوم Gemini بمعالجة المدخلات وإعادة تعليمات JSON منظمة توجه البرمجية الخبيثة بشأن الإجراءات التي يجب تنفيذها، مثل النقر على عناصر محددة في واجهة المستخدم، ومكان تنفيذها.

يستمر هذا التفاعل متعدد الخطوات، المدعوم بالذكاء الاصطناعي، حتى يتم تثبيت التطبيق الخبيث بنجاح في قائمة التطبيقات الحديثة. وبفضل بقائه في هذه الحالة، يقاوم التطبيق الإزالة أو الإغلاق من قِبل نظام التشغيل، مما يضمن استمراريته. يُغني استخدام الذكاء الاصطناعي عن الاعتماد على تسلسلات النقر المُبرمجة مسبقًا، مما يسمح للبرمجيات الخبيثة بالتكيف بسلاسة مع مختلف الأجهزة والتصميمات وإصدارات نظام أندرويد، وبالتالي توسيع قاعدة ضحاياها المحتملين بشكل كبير.

إساءة استخدام إمكانية الوصول والبنية التحتية للتحكم عن بعد

يستغل برنامج PromptSpy خدمات إمكانية الوصول في نظام أندرويد لتنفيذ تعليمات مُولّدة بواسطة الذكاء الاصطناعي دون تدخل المستخدم. ومن خلال هذه الخدمات، يستطيع البرنامج التلاعب بواجهة الجهاز برمجيًا مع الحفاظ على سرية هويته.

تشمل قدراتها التشغيلية ما يلي:

• اعتراض أرقام التعريف الشخصية (PIN) وكلمات المرور وإدخالات فتح القفل بنمط الشاشة
• التقاط لقطات الشاشة وتسجيل نشاط الشاشة عند الطلب
• منع محاولات الإزالة عن طريق تراكب عناصر واجهة المستخدم غير المرئية
• إنشاء وصول عن بعد عبر وحدة VNC مدمجة

يتواصل البرنامج الخبيث مع خادم تحكم (C2) مُبرمج مسبقًا على العنوان '54.67.2.84' باستخدام بروتوكول VNC. كما يسترجع مفتاح واجهة برمجة تطبيقات Gemini من هذا الخادم، مما يُمكّنه من مواصلة العمليات المدعومة بالذكاء الاصطناعي. وتُستخدم طبقات خفية لعرقلة محاولات المستخدمين لإلغاء تثبيت التطبيق، مما يُوقع الضحايا في فخّه ما لم يتخذوا خطوات تصحيحية مُحددة.

سلسلة العدوى وتكتيكات الهندسة الاجتماعية

لا يتم توزيع برنامج PromptSpy عبر متاجر التطبيقات الرسمية مثل متجر جوجل بلاي. بدلاً من ذلك، يتم توزيعه عبر موقع ويب خبيث مخصص، وهو 'mgardownload.com'، والذي يوفر تطبيقًا لتثبيته. بمجرد تثبيته وتشغيله، يقوم التطبيق بإعادة توجيه المستخدمين إلى موقع آخر، وهو 'm-mgarg.com'.

تتخفى العملية تحت اسم "مورغان أرج" (MorganArg)، في إشارة إلى بنك مورغان الأرجنتيني، متخذةً شكل بنك جيه بي مورغان تشيس. ويتم التلاعب بالضحايا عبر الهندسة الاجتماعية لحملهم على منح الإذن بتثبيت تطبيقات من مصادر مجهولة. بعد ذلك، يتصل برنامج التثبيت بخادمه لاسترداد ملف تهيئة يحتوي على رابط لتنزيل ملف APK إضافي، يُعرض باللغة الإسبانية على أنه تحديث شرعي. وخلال التحليل اللاحق، تبيّن أن خادم التهيئة غير متصل بالإنترنت، مما حال دون تحديد عنوان URL الدقيق للحمولة الخبيثة.

يعتبر برنامج PromptSpy تطوراً متقدماً لتهديد أندرويد غير موثق سابقاً يُعرف باسم VNCSpy.

دلائل الإسناد وأنماط الاستهداف

تشير تحليلات البيانات اللغوية وآليات التوزيع إلى أن الحملة مدفوعة بدوافع مالية وتستهدف في المقام الأول المستخدمين في الأرجنتين. ومع ذلك، تكشف المؤشرات التقنية أن البرمجية الخبيثة طُوّرت على الأرجح في بيئة ناطقة بالصينية، كما يتضح من سلاسل تصحيح الأخطاء المكتوبة بالصينية المبسطة والمضمنة في قاعدة البيانات.

تحديات الإزالة وآثارها الدفاعية

نظراً لاستخدام البرمجية الخبيثة طبقات خفية واستغلالها لثغرات الوصول، فإن طرق الإزالة التقليدية غير فعّالة. الطريقة الوحيدة الموثوقة للمعالجة هي إعادة تشغيل الجهاز في الوضع الآمن، حيث يتم تعطيل تطبيقات الطرف الثالث، مما يسمح بإزالة PromptSpy.

يُبرز ظهور برنامج PromptSpy تطورًا هامًا في تصميم البرمجيات الخبيثة لنظام أندرويد. فمن خلال الاستفادة من الذكاء الاصطناعي التوليدي لتحليل عناصر الشاشة وتحديد استراتيجيات التفاعل بشكل ديناميكي، يكتسب المهاجمون مستوىً من المرونة لم يكن متاحًا سابقًا باستخدام البرامج النصية الثابتة. فبدلًا من الاعتماد على مسارات تفاعل جامدة ومُبرمجة مسبقًا، يُزوّد البرنامج الخبيث الذكاء الاصطناعي بصورة للشاشة، ويتلقى في المقابل تعليمات دقيقة ومفصلة خطوة بخطوة.

يشير هذا التطور إلى تحول نحو تهديدات متنقلة أكثر استقلالية ومرونة واستقلالية عن الأجهزة، مما يمثل علامة فارقة مثيرة للقلق في تقارب الذكاء الاصطناعي والجريمة الإلكترونية.