Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós mòbil Programari maliciós per a Android PromptSpy

Programari maliciós per a Android PromptSpy

El Mezo el Programari maliciós mòbil
Traduir a:

Investigadors de ciberseguretat han identificat el que es creu que és el primer programari maliciós per a Android que converteix Gemini, el chatbot d'intel·ligència artificial generativa de Google, en una arma, com a part del seu flux de treball operatiu. L'amenaça recentment descoberta, anomenada PromptSpy, integra la presa de decisions basada en IA a la seva cadena d'execució i estratègia de persistència.

PromptSpy està dissenyat amb àmplies capacitats de vigilància i control. La seva funcionalitat inclou la recopilació de credencials de la pantalla de bloqueig, el bloqueig dels intents de desinstal·lació, la recopilació d'informació detallada del dispositiu, la captura de captures de pantalla i l'enregistrament de l'activitat a la pantalla com a vídeo. L'objectiu principal del programari maliciós és implementar un mòdul de computació de xarxa virtual (VNC) integrat, que permeti als atacants accedir remotament als dispositius compromesos.

La IA com a motor d’automatització: com Gemini permet la persistència

A diferència del programari maliciós tradicional d'Android que es basa en rutes de navegació d'interfície d'usuari (UI) predefinides, PromptSpy aprofita la IA generativa per interpretar i interactuar dinàmicament amb les pantalles dels dispositius. En integrar un model i una indicació d'IA codificats, el programari maliciós assigna a l'agent d'IA el paper d'"assistent d'automatització d'Android".

El procés d'infecció implica la transmissió d'una indicació en llenguatge natural a Gemini juntament amb un abocament XML de la pantalla actual. Aquest fitxer XML conté dades granulars sobre cada component de la interfície d'usuari, incloent-hi etiquetes de text, tipus d'elements i coordenades exactes a la pantalla. Gemini processa l'entrada i retorna instruccions JSON estructurades que indiquen al programari maliciós quines accions ha de realitzar, com ara tocar elements específics de la interfície d'usuari, i on executar-les.

Aquesta interacció guiada per IA en diversos passos continua fins que l'aplicació maliciosa s'ha fixat correctament a la llista d'aplicacions recents. En romandre bloquejada en aquest estat, l'aplicació resisteix que el sistema operatiu elimini o la tanqui, aconseguint així la persistència. L'ús de la IA elimina la dependència de seqüències de toc codificades, permetent que el programari maliciós s'adapti perfectament a diferents dispositius, dissenys i versions d'Android, ampliant significativament la seva base de víctimes potencials.

Abús d’accessibilitat i infraestructura de control remot

PromptSpy explota els serveis d'accessibilitat d'Android per executar instruccions generades per IA sense interacció de l'usuari. A través d'aquests serveis, pot manipular la interfície del dispositiu mitjançant programació mentre roman ocult.

Les seves capacitats operatives inclouen:

  • Interceptació de PIN, contrasenyes i entrades de desbloqueig de pantalla de bloqueig
  • Captura de captures de pantalla i enregistrament de l'activitat de la pantalla sota demanda
  • Bloqueig dels intents d'eliminació superposant elements invisibles de la interfície d'usuari
  • Establiment d'accés remot mitjançant un mòdul VNC integrat

El programari maliciós es comunica amb un servidor de comandament i control (C2) codificat de manera fixa a '54.67.2.84' mitjançant el protocol VNC. També recupera la clau de l'API de Gemini d'aquest servidor, cosa que permet continuar les operacions impulsades per la IA. S'utilitzen superposicions invisibles per obstruir els intents dels usuaris de desinstal·lar l'aplicació, atrapant eficaçment les víctimes tret que es prenguin mesures de remediació específiques.

Cadena d’infecció i tàctiques d’enginyeria social

PromptSpy no es distribueix a través de mercats d'aplicacions oficials com ara Google Play. En canvi, es lliura a través d'un lloc web maliciós dedicat, "mgardownload(dot)com", que proporciona una aplicació de descargot. Un cop instal·lat i executat, el descargot redirigeix les víctimes a un altre lloc, "m-mgarg(dot)com".

L'operació es fa passar per JPMorgan Chase amb el nom de "MorganArg", en referència a Morgan Argentina. Les víctimes són manipulades socialment perquè concedeixin permís per instal·lar aplicacions de fonts desconegudes. Posteriorment, el programa de descàrrega contacta amb el seu servidor per recuperar un fitxer de configuració que conté un enllaç per descarregar un fitxer APK addicional, presentat en castellà com una actualització legítima. Durant una anàlisi posterior, es va descobrir que el servidor de configuració estava fora de línia, deixant l'URL exacta de la càrrega útil indeterminada.

PromptSpy es considera una evolució avançada d'una amenaça d'Android prèviament indocumentada coneguda com a VNCSpy.

Pistes d’atribució i patrons de segmentació

L'anàlisi dels artefactes lingüístics i els mecanismes de distribució suggereix que la campanya té motivacions financeres i s'adreça principalment a usuaris de l'Argentina. Tanmateix, els indicadors tècnics revelen que el programari maliciós probablement es va desenvolupar en un entorn de parla xinesa, tal com ho demostren les cadenes de depuració escrites en xinès simplificat incrustades a la base de codi.

Reptes de l’eliminació i implicacions defensives

A causa de l'ús de superposicions invisibles i l'abús d'accessibilitat per part del programari maliciós, els mètodes convencionals de desinstal·lació són ineficaços. L'únic enfocament de remediació fiable consisteix a reiniciar el dispositiu en mode segur, on les aplicacions de tercers es desactiven, cosa que permet eliminar PromptSpy.

L'aparició de PromptSpy subratlla una evolució significativa en el disseny de programari maliciós per a Android. En aprofitar la IA generativa per interpretar els elements de la pantalla i determinar les estratègies d'interacció de manera dinàmica, els actors amenaçadors aconsegueixen un nivell d'adaptabilitat que abans no s'assolia amb els scripts d'automatització estàtics. En lloc de confiar en rutes d'interacció rígides i codificades, el programari maliciós simplement proporciona a la IA una instantània de la pantalla i rep instruccions precises pas a pas a canvi.

Aquest desenvolupament assenyala un canvi cap a amenaces mòbils més autònomes, resilients i agnòstiques per a dispositius, marcant una fita preocupant en la convergència de la intel·ligència artificial i la ciberdelinqüència.

Tendència

American Express - Estafa per correu electrònic: cal...

Phishing, Correu brossa
Mantenir-se alerta quan es tracta de correus electrònics inesperats és essencial en l'entorn digital actual. Els ciberdelinqüents sovint suplanten la identitat de marques de confiança per enganyar els destinataris perquè revelin informació confidencial. L'anomenada estafa de correu electrònic American Express - Account Access Update Needed Email Scam és una d'aquestes campanyes de phishing....

S'ha preparat un document privat. Estafa per correu...

Phishing, Correu brossa
En el panorama actual de les amenaces, és essencial ser prudent a l'hora de gestionar correus electrònics no sol·licitats o inesperats. Els ciberdelinqüents sovint disfressen els missatges fraudulents de comunicacions legítimes per manipular els destinataris perquè revelin informació confidencial. Els anomenats correus electrònics de "S'ha preparat un document privat" no estan associats a cap...

Més vist

Carregant...