PromptSpy Android Malware

সাইবার নিরাপত্তা গবেষকরা গুগলের জেনারেটিভ কৃত্রিম বুদ্ধিমত্তা চ্যাটবট জেমিনিকে তার অপারেশনাল ওয়ার্কফ্লোর অংশ হিসেবে অস্ত্র হিসেবে ব্যবহার করার জন্য প্রথম অ্যান্ড্রয়েড ম্যালওয়্যার শনাক্ত করেছেন। নতুন আবিষ্কৃত এই হুমকি, যার নাম প্রম্পটস্পাই, এটি তার কার্যকরী শৃঙ্খল এবং অধ্যবসায় কৌশলের সাথে কৃত্রিম বুদ্ধিমত্তা-চালিত সিদ্ধান্ত গ্রহণকে একীভূত করে।

PromptSpy ব্যাপক নজরদারি এবং নিয়ন্ত্রণ ক্ষমতা দিয়ে তৈরি। এর কার্যকারিতার মধ্যে রয়েছে লকস্ক্রিন শংসাপত্র সংগ্রহ করা, আনইনস্টল করার প্রচেষ্টা ব্লক করা, ডিভাইসের বিস্তারিত তথ্য সংগ্রহ করা, স্ক্রিনশট ক্যাপচার করা এবং ভিডিও হিসাবে অন-স্ক্রিন কার্যকলাপ রেকর্ড করা। ম্যালওয়্যারটির প্রাথমিক লক্ষ্য হল একটি এমবেডেড ভার্চুয়াল নেটওয়ার্ক কম্পিউটিং (VNC) মডিউল স্থাপন করা, যা আক্রমণকারীদের ক্ষতিগ্রস্থ ডিভাইসগুলিতে দূরবর্তী অ্যাক্সেস প্রদান করে।

অটোমেশন ইঞ্জিন হিসেবে AI: জেমিনি কীভাবে অধ্যবসায় সক্ষম করে

প্রথাগত অ্যান্ড্রয়েড ম্যালওয়্যার যা পূর্বনির্ধারিত ইউজার ইন্টারফেস (UI) নেভিগেশন পাথের উপর নির্ভর করে, তার বিপরীতে, PromptSpy ডিভাইস স্ক্রিনগুলির সাথে গতিশীলভাবে ব্যাখ্যা এবং ইন্টারঅ্যাক্ট করার জন্য জেনারেটিভ AI ব্যবহার করে। একটি হার্ড-কোডেড AI মডেল এবং প্রম্পট এম্বেড করে, ম্যালওয়্যারটি AI এজেন্টকে 'অ্যান্ড্রয়েড অটোমেশন সহকারী' এর ভূমিকা অর্পণ করে।

সংক্রমণ প্রক্রিয়ার মধ্যে বর্তমান স্ক্রিনের একটি XML ডাম্পের পাশাপাশি জেমিনিতে একটি প্রাকৃতিক ভাষার প্রম্পট প্রেরণ করা জড়িত। এই XML ফাইলটিতে প্রতিটি UI উপাদানের উপর গ্রানুলার ডেটা রয়েছে, যার মধ্যে টেক্সট লেবেল, উপাদানের ধরণ এবং সঠিক অন-স্ক্রিন স্থানাঙ্ক অন্তর্ভুক্ত রয়েছে। জেমিনি ইনপুট প্রক্রিয়া করে এবং ম্যালওয়্যারকে কী কী ক্রিয়া সম্পাদন করতে হবে, যেমন নির্দিষ্ট UI উপাদানগুলিতে ট্যাপ করা এবং কোথায় সেগুলি কার্যকর করতে হবে সে সম্পর্কে স্ট্রাকচার্ড JSON নির্দেশাবলী প্রদান করে।

এই বহু-পদক্ষেপের AI-নির্দেশিত মিথস্ক্রিয়াটি ততক্ষণ পর্যন্ত চলতে থাকে যতক্ষণ না ক্ষতিকারক অ্যাপ্লিকেশনটি সাম্প্রতিক অ্যাপ তালিকায় সফলভাবে পিন করা হয়। এই অবস্থায় লক থাকা অবস্থায়, অ্যাপটি অপারেটিং সিস্টেম দ্বারা সোয়াইপ করা বা বন্ধ করা প্রতিরোধ করে, যার ফলে স্থায়িত্ব অর্জন করে। AI ব্যবহার হার্ডকোডেড ট্যাপ সিকোয়েন্সের উপর নির্ভরতা দূর করে, ম্যালওয়্যারটিকে বিভিন্ন ডিভাইস, লেআউট এবং অ্যান্ড্রয়েড সংস্করণের সাথে নির্বিঘ্নে খাপ খাইয়ে নিতে দেয়, যার ফলে এর সম্ভাব্য শিকারের সংখ্যা উল্লেখযোগ্যভাবে বৃদ্ধি পায়।

অ্যাক্সেসিবিলিটির অপব্যবহার এবং রিমোট কন্ট্রোল অবকাঠামো

PromptSpy ব্যবহারকারীর মিথস্ক্রিয়া ছাড়াই AI-উত্পাদিত নির্দেশাবলী কার্যকর করার জন্য অ্যান্ড্রয়েডের অ্যাক্সেসিবিলিটি পরিষেবাগুলিকে কাজে লাগায়। এই পরিষেবাগুলির মাধ্যমে, এটি গোপন রেখে ডিভাইস ইন্টারফেসকে প্রোগ্রাম্যাটিকভাবে পরিচালনা করতে পারে।

এর কার্যক্ষম ক্ষমতার মধ্যে রয়েছে:

• লকস্ক্রিন পিন, পাসওয়ার্ড এবং প্যাটার্ন আনলক ইনপুট আটকানো
• স্ক্রিনশট ক্যাপচার করা এবং চাহিদা অনুযায়ী স্ক্রিন অ্যাক্টিভিটি রেকর্ড করা
• অদৃশ্য UI উপাদানগুলিকে ওভারলে করে অপসারণের প্রচেষ্টা ব্লক করা
• একটি এমবেডেড VNC মডিউলের মাধ্যমে দূরবর্তী অ্যাক্সেস স্থাপন করা

ম্যালওয়্যারটি VNC প্রোটোকল ব্যবহার করে '54.67.2.84' এ একটি হার্ড-কোডেড কমান্ড-এন্ড-কন্ট্রোল (C2) সার্ভারের সাথে যোগাযোগ করে। এটি এই সার্ভার থেকে জেমিনি API কীও উদ্ধার করে, যা AI-চালিত ক্রিয়াকলাপ অব্যাহত রাখতে সক্ষম করে। অদৃশ্য ওভারলেগুলি ব্যবহারকারীর অ্যাপটি আনইনস্টল করার প্রচেষ্টাকে বাধাগ্রস্ত করতে ব্যবহার করা হয়, যা কার্যকরভাবে ক্ষতিগ্রস্থদের ফাঁদে ফেলে যদি না নির্দিষ্ট প্রতিকারমূলক পদক্ষেপ নেওয়া হয়।

সংক্রমণ শৃঙ্খল এবং সামাজিক প্রকৌশল কৌশল

PromptSpy গুগল প্লে-এর মতো অফিসিয়াল অ্যাপ মার্কেটপ্লেসের মাধ্যমে বিতরণ করা হয় না। বরং, এটি একটি ডেডিকেটেড ম্যালিসিয়াস ওয়েবসাইট, 'mgardownload(dot)com'-এর মাধ্যমে সরবরাহ করা হয়, যা একটি ড্রপার অ্যাপ্লিকেশন সরবরাহ করে। একবার ইনস্টল এবং কার্যকর করা হলে, ড্রপারটি ক্ষতিগ্রস্থদের অন্য একটি সাইট, 'm-mgarg(dot)com'-এ পুনঃনির্দেশিত করে।

এই অপারেশনটি 'MorganArg' নামে JPMorgan Chase নামে ছদ্মবেশ ধারণ করে, যা Morgan Argentina-কে নির্দেশ করে। অজানা উৎস থেকে অ্যাপ্লিকেশন ইনস্টল করার অনুমতি দেওয়ার জন্য ভুক্তভোগীদের সামাজিকভাবে প্রকৌশলী করা হয়। পরবর্তীতে, ড্রপারটি তার সার্ভারের সাথে যোগাযোগ করে একটি কনফিগারেশন ফাইল উদ্ধার করে যেখানে একটি অতিরিক্ত APK ফাইল ডাউনলোড করার লিঙ্ক থাকে, যা স্প্যানিশ ভাষায় একটি বৈধ আপডেট হিসাবে উপস্থাপিত হয়। পরবর্তী বিশ্লেষণের সময়, কনফিগারেশন সার্ভারটি অফলাইনে পাওয়া যায়, যার ফলে সঠিক পেলোড URLটি অনির্দিষ্ট থাকে।

প্রম্পটস্পাইকে VNCSpy নামে পরিচিত একটি পূর্বে নথিভুক্ত না করা অ্যান্ড্রয়েড হুমকির একটি উন্নত বিবর্তন হিসাবে বিবেচনা করা হয়।

অ্যাট্রিবিউশন ক্লু এবং টার্গেটিং প্যাটার্নস

ভাষাগত নিদর্শন এবং বিতরণ প্রক্রিয়া বিশ্লেষণ করে দেখা যায় যে এই প্রচারণাটি আর্থিকভাবে অনুপ্রাণিত এবং মূলত আর্জেন্টিনার ব্যবহারকারীদের লক্ষ্য করে তৈরি। তবে, প্রযুক্তিগত সূচকগুলি প্রকাশ করে যে ম্যালওয়্যারটি সম্ভবত চীনা-ভাষী পরিবেশে তৈরি করা হয়েছিল, যেমনটি কোডবেসের মধ্যে সরলীকৃত চীনা ভাষায় লেখা ডিবাগ স্ট্রিং দ্বারা প্রমাণিত।

অপসারণ চ্যালেঞ্জ এবং প্রতিরক্ষামূলক প্রভাব

ম্যালওয়্যারের অদৃশ্য ওভারলে ব্যবহারের কারণে এবং অ্যাক্সেসিবিলিটির অপব্যবহারের কারণে, প্রচলিত আনইনস্টলেশন পদ্ধতিগুলি অকার্যকর। একমাত্র নির্ভরযোগ্য প্রতিকার পদ্ধতি হল ডিভাইসটিকে সেফ মোডে রিবুট করা, যেখানে তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলি অক্ষম করা হয়, যার ফলে PromptSpy সরানো যায়।

প্রম্পটস্পাইয়ের উত্থান অ্যান্ড্রয়েড ম্যালওয়্যার ডিজাইনে একটি উল্লেখযোগ্য বিবর্তনের উপর জোর দেয়। অন-স্ক্রিন উপাদানগুলি ব্যাখ্যা করতে এবং গতিশীলভাবে ইন্টারঅ্যাকশন কৌশল নির্ধারণ করতে জেনারেটিভ এআই ব্যবহার করে, হুমকি অভিনেতারা স্ট্যাটিক অটোমেশন স্ক্রিপ্টগুলির সাথে পূর্বে অপ্রাপ্য অভিযোজনযোগ্যতার স্তর অর্জন করে। অনমনীয়, হার্ডকোডেড ইন্টারঅ্যাকশন পাথের উপর নির্ভর করার পরিবর্তে, ম্যালওয়্যার কেবল এআইকে একটি স্ক্রিন স্ন্যাপশট সরবরাহ করে এবং বিনিময়ে সুনির্দিষ্ট, ধাপে ধাপে নির্দেশাবলী গ্রহণ করে।

এই উন্নয়ন আরও স্বায়ত্তশাসিত, স্থিতিস্থাপক এবং ডিভাইস-অজ্ঞেয়বাদী মোবাইল হুমকির দিকে একটি পরিবর্তনের ইঙ্গিত দেয়, যা কৃত্রিম বুদ্ধিমত্তা এবং সাইবার অপরাধের একত্রিতকরণে একটি উদ্বেগজনক মাইলফলক চিহ্নিত করে।