Оферта за отстъпка за множество лицензи
База данни за заплахи Мобилен зловреден софтуер Зловреден софтуер PromptSpy за Android

Зловреден софтуер PromptSpy за Android

До Mezo през Мобилен зловреден софтуерг
Превод на:

Изследователи по киберсигурност са идентифицирали това, което се смята за първия зловреден софтуер за Android, който използва Gemini, генеративния чатбот с изкуствен интелект на Google, като част от оперативния си работен процес. Новооткритата заплаха, наречена PromptSpy, интегрира вземането на решения, основано на изкуствен интелект, във веригата си за изпълнение и стратегията си за постоянство.

PromptSpy е проектиран с обширни възможности за наблюдение и контрол. Неговата функционалност включва събиране на идентификационни данни от заключен екран, блокиране на опити за деинсталиране, събиране на подробна информация за устройството, заснемане на екранни снимки и записване на активността на екрана като видео. Основната цел на зловредния софтуер е да внедри вграден модул за виртуални мрежови изчисления (VNC), предоставяйки на нападателите отдалечен достъп до компрометирани устройства.

Изкуствен интелект като автоматизиран двигател: Как Gemini осигурява постоянство

За разлика от традиционния зловреден софтуер за Android, който разчита на предварително дефинирани пътища за навигация в потребителския интерфейс (UI), PromptSpy използва генеративен изкуствен интелект, за да интерпретира динамично и да взаимодейства с екраните на устройствата. Чрез вграждане на твърдо кодиран модел и подкана на изкуствен интелект, зловредният софтуер присвоява на агента на изкуствен интелект ролята на „асистент за автоматизация на Android“.

Процесът на заразяване включва предаване на подкана на естествен език към Gemini, заедно с XML дъмп на текущия екран. Този XML файл съдържа подробни данни за всеки компонент на потребителския интерфейс, включително текстови етикети, типове елементи и точни координати на екрана. Gemini обработва входните данни и връща структурирани JSON инструкции, насочващи зловредния софтуер какви действия да извърши, като например докосване на конкретни елементи на потребителския интерфейс и къде да ги изпълни.

Това многоетапно взаимодействие, ръководено от изкуствен интелект, продължава, докато злонамереното приложение не бъде успешно закачено в списъка с скорошни приложения. Като остава заключено в това състояние, приложението се съпротивлява на премахване или прекратяване от операционната система, като по този начин се постига устойчивост. Използването на изкуствен интелект елиминира зависимостта от твърдо кодирани последователности от докосвания, позволявайки на зловредния софтуер да се адаптира безпроблемно към различни устройства, оформления и версии на Android, значително разширявайки потенциалната си база от жертви.

Злоупотреба с достъпност и инфраструктура за дистанционно управление

PromptSpy използва услугите за достъпност на Android, за да изпълнява генерирани от изкуствен интелект инструкции без намеса от потребителя. Чрез тези услуги той може да манипулира интерфейса на устройството програмно, като същевременно остава скрит.

Неговите оперативни възможности включват:

  • Прихващане на ПИН кодове, пароли и шаблони за отключване на заключен екран
  • Заснемане на екранни снимки и записване на активността на екрана при поискване
  • Блокиране на опитите за премахване чрез наслагване на невидими елементи от потребителския интерфейс
  • Установяване на отдалечен достъп чрез вграден VNC модул

Зловредният софтуер комуникира с твърдо кодиран Command-and-Control (C2) сървър на адрес „54.67.2.84“, използвайки VNC протокола. Той също така извлича ключа на Gemini API от този сървър, което позволява продължаване на операциите, управлявани от изкуствен интелект. Невидими наслагвания се използват, за да възпрепятстват опитите на потребителите да деинсталират приложението, като ефективно хващат жертвите в капан, освен ако не се предприемат специфични стъпки за отстраняване на проблема.

Верига за заразяване и тактики за социално инженерство

PromptSpy не се разпространява чрез официални магазини за приложения, като например Google Play. Вместо това, той се доставя чрез специален зловреден уебсайт „mgardownload(dot)com“, който предоставя приложение за инсталиране. След като бъде инсталиран и изпълнен, приложението пренасочва жертвите към друг сайт „m-mgarg(dot)com“.

Операцията се маскира като JPMorgan Chase под името „MorganArg“, препращайки към Morgan Argentina. Жертвите са социално инженерствани да предоставят разрешение за инсталиране на приложения от неизвестни източници. След това, дропърът се свързва със сървъра си, за да извлече конфигурационен файл, съдържащ линк за изтегляне на допълнителен APK файл, представен на испански като легитимна актуализация. По време на последващ анализ е установено, че конфигурационният сървър е офлайн, което оставя точния URL адрес на полезния товар неопределен.

PromptSpy се счита за усъвършенствана еволюция на досега недокументирана заплаха за Android, известна като VNCSpy.

Указания за атрибуция и модели на таргетиране

Анализът на езиковите артефакти и механизмите за разпространение показва, че кампанията е финансово мотивирана и е насочена предимно към потребители в Аржентина. Техническите индикатори обаче разкриват, че зловредният софтуер вероятно е разработен в китайскоговоряща среда, както се вижда от низовете за дебъгване, написани на опростен китайски, вградени в кодовата база.

Предизвикателства при премахването и защитни последици

Поради използването на невидими наслагвания от зловредния софтуер и злоупотреба с достъпността, конвенционалните методи за деинсталиране са неефективни. Единственият надежден подход за отстраняване включва рестартиране на устройството в безопасен режим, където приложенията на трети страни са деактивирани, което позволява премахването на PromptSpy.

Появата на PromptSpy подчертава значителна еволюция в дизайна на зловредния софтуер за Android. Чрез използване на генеративен изкуствен интелект за интерпретиране на екранните елементи и динамично определяне на стратегии за взаимодействие, злонамерените лица постигат ниво на адаптивност, което преди това не беше постижимо със статични скриптове за автоматизация. Вместо да разчита на твърди, кодирани пътища за взаимодействие, злонамереният софтуер просто предоставя на изкуствения интелект моментна снимка на екрана и в замяна получава точни, стъпка по стъпка инструкции.

Това развитие сигнализира за преминаване към по-автономни, устойчиви и независими от устройството мобилни заплахи, отбелязвайки тревожен етап в сближаването на изкуствения интелект и киберпрестъпността.

Тенденция

American Express - Необходимо е актуализиране на...

Фишинг, Спам
В днешната дигитална среда е от съществено значение да останете бдителни при работа с неочаквани имейли. Киберпрестъпниците често се представят за надеждни марки, за да подведат получателите да разкрият чувствителна информация. Така наречената измама с имейли „American Express - Account Access Update Needed“ е една такава фишинг кампания. Тези имейли не са свързани с никакви легитимни компании,...

Измама с имейл „Подготвен е личен документ“

Фишинг, Спам
В днешния свят на заплахи е важно да се запази предпазливост при работа с непоискани или неочаквани имейли. Киберпрестъпниците често маскират измамни съобщения като легитимни комуникации, за да манипулират получателите и да ги накарат да разкрият чувствителна информация. Така наречените имейли „Подготвен е личен документ“ не са свързани с никакви легитимни компании, организации или юридически...

Най-гледан

Зловреден софтуер

Фишинг, Спам
24,424
Съобщението за измама „Apple Pay Suspended“ е вид фишинг тактика, насочена към потребителите на Apple Pay. Съобщението твърди, че портфейлът на Apple Pay на потребителя е спрян и ги призовава да кликнат върху връзка, за да го възстановят. Щракването върху връзката обаче ще отведе потребителя до фалшив уебсайт, който е предназначен да открадне тяхната лична и финансова информация. Ако потребител...
Зареждане...