Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Κακόβουλο λογισμικό για κινητά Κακόβουλο λογισμικό PromptSpy για Android

Κακόβουλο λογισμικό PromptSpy για Android

Μέχρι το Mezo το Κακόβουλο λογισμικό για κινητά
Μετάφραση σε:

Ερευνητές κυβερνοασφάλειας εντόπισαν αυτό που πιστεύεται ότι είναι το πρώτο κακόβουλο λογισμικό Android που χρησιμοποιεί ως όπλο το Gemini, το chatbot τεχνητής νοημοσύνης της Google, ως μέρος της επιχειρησιακής ροής εργασίας της. Η πρόσφατα αποκαλυφθείσα απειλή, με την ονομασία PromptSpy, ενσωματώνει τη λήψη αποφάσεων που καθοδηγείται από την τεχνητή νοημοσύνη στην αλυσίδα εκτέλεσης και τη στρατηγική επιμονής της.

Το PromptSpy έχει σχεδιαστεί με εκτεταμένες δυνατότητες επιτήρησης και ελέγχου. Η λειτουργικότητά του περιλαμβάνει τη συλλογή διαπιστευτηρίων κλειδώματος οθόνης, τον αποκλεισμό προσπαθειών απεγκατάστασης, τη συλλογή λεπτομερών πληροφοριών συσκευής, τη λήψη στιγμιότυπων οθόνης και την καταγραφή της δραστηριότητας στην οθόνη ως βίντεο. Ο κύριος στόχος του κακόβουλου λογισμικού είναι η ανάπτυξη μιας ενσωματωμένης μονάδας Virtual Network Computing (VNC), παρέχοντας στους εισβολείς απομακρυσμένη πρόσβαση σε παραβιασμένες συσκευές.

Η Τεχνητή Νοημοσύνη ως Μηχανή Αυτοματισμού: Πώς η Gemini Ενεργοποιεί την Επιμονή

Σε αντίθεση με το παραδοσιακό κακόβουλο λογισμικό Android που βασίζεται σε προκαθορισμένες διαδρομές πλοήγησης στο περιβάλλον χρήστη (UI), το PromptSpy αξιοποιεί την παραγωγική τεχνητή νοημοσύνη (AI) για να ερμηνεύει και να αλληλεπιδρά δυναμικά με τις οθόνες των συσκευών. Ενσωματώνοντας ένα σκληρά κωδικοποιημένο μοντέλο AI και μια προτροπή, το κακόβουλο λογισμικό αναθέτει στον παράγοντα AI τον ρόλο ενός «βοηθού αυτοματισμού Android».

Η διαδικασία μόλυνσης περιλαμβάνει τη μετάδοση μιας προτροπής φυσικής γλώσσας στο Gemini μαζί με ένα αρχείο dump XML της τρέχουσας οθόνης. Αυτό το αρχείο XML περιέχει λεπτομερή δεδομένα για κάθε στοιχείο του UI, συμπεριλαμβανομένων ετικετών κειμένου, τύπων στοιχείων και ακριβών συντεταγμένων στην οθόνη. Το Gemini επεξεργάζεται την είσοδο και επιστρέφει δομημένες οδηγίες JSON που κατευθύνουν το κακόβουλο λογισμικό σχετικά με τις ενέργειες που πρέπει να εκτελέσει, όπως το πάτημα συγκεκριμένων στοιχείων του UI και το πού να τις εκτελέσει.

Αυτή η αλληλεπίδραση πολλαπλών βημάτων, καθοδηγούμενη από την Τεχνητή Νοημοσύνη, συνεχίζεται μέχρι η κακόβουλη εφαρμογή να καρφιτσωθεί με επιτυχία στη λίστα πρόσφατων εφαρμογών. Παραμένοντας κλειδωμένη σε αυτήν την κατάσταση, η εφαρμογή αντιστέκεται στην απομάκρυνση ή τον τερματισμό της από το λειτουργικό σύστημα, επιτυγχάνοντας έτσι τη διατήρηση της λειτουργικότητάς της. Η χρήση της Τεχνητής Νοημοσύνης εξαλείφει την εξάρτηση από τις κωδικοποιημένες ακολουθίες πατήματος, επιτρέποντας στο κακόβουλο λογισμικό να προσαρμόζεται απρόσκοπτα σε διαφορετικές συσκευές, διατάξεις και εκδόσεις Android, διευρύνοντας σημαντικά τη βάση των πιθανών θυμάτων του.

Κατάχρηση Προσβασιμότητας και Υποδομή Τηλεχειρισμού

Το PromptSpy εκμεταλλεύεται τις υπηρεσίες προσβασιμότητας του Android για να εκτελεί οδηγίες που δημιουργούνται από τεχνητή νοημοσύνη χωρίς την παρέμβαση του χρήστη. Μέσω αυτών των υπηρεσιών, μπορεί να χειριστεί τη διεπαφή της συσκευής μέσω προγραμματισμού, ενώ παραμένει κρυφή.

Οι επιχειρησιακές του δυνατότητες περιλαμβάνουν:

  • Υποκλοπή κωδικών PIN, κωδικών πρόσβασης και εισαγωγών ξεκλειδώματος με μοτίβο κλειδώματος οθόνης
  • Λήψη στιγμιότυπων οθόνης και καταγραφή δραστηριότητας οθόνης κατ' απαίτηση
  • Αποκλεισμός προσπαθειών αφαίρεσης με επικάλυψη αόρατων στοιχείων UI
  • Δημιουργία απομακρυσμένης πρόσβασης μέσω ενσωματωμένης μονάδας VNC

Το κακόβουλο λογισμικό επικοινωνεί με έναν ενσωματωμένο διακομιστή Command-and-Control (C2) στη διεύθυνση '54.67.2.84' χρησιμοποιώντας το πρωτόκολλο VNC. Ανακτά επίσης το κλειδί Gemini API από αυτόν τον διακομιστή, επιτρέποντας τη συνέχιση των λειτουργιών που βασίζονται στην τεχνητή νοημοσύνη. Χρησιμοποιούνται αόρατες επικαλύψεις για να εμποδίσουν τις προσπάθειες των χρηστών να απεγκαταστήσουν την εφαρμογή, παγιδεύοντας αποτελεσματικά τα θύματα, εκτός εάν ληφθούν συγκεκριμένα μέτρα αποκατάστασης.

Τακτικές Αλυσίδας Μόλυνσης και Κοινωνικής Μηχανικής

Το PromptSpy δεν διανέμεται μέσω επίσημων αγορών εφαρμογών όπως το Google Play. Αντίθετα, παρέχεται μέσω ενός ειδικού κακόβουλου ιστότοπου, του 'mgardownload(dot)com', ο οποίος παρέχει μια εφαρμογή dropper. Μόλις εγκατασταθεί και εκτελεστεί, το dropper ανακατευθύνει τα θύματα σε έναν άλλο ιστότοπο, το 'm-mgarg(dot)com'.

Η επιχείρηση μεταμφιέζεται ως JPMorgan Chase με το όνομα «MorganArg», που αναφέρεται στην Morgan Argentina. Τα θύματα παρακινούνται κοινωνικά ώστε να παρέχουν άδεια εγκατάστασης εφαρμογών από άγνωστες πηγές. Στη συνέχεια, το dropper επικοινωνεί με τον διακομιστή του για να ανακτήσει ένα αρχείο διαμόρφωσης που περιέχει έναν σύνδεσμο για τη λήψη ενός επιπλέον αρχείου APK, το οποίο παρουσιάζεται στα ισπανικά ως νόμιμη ενημέρωση. Κατά την επακόλουθη ανάλυση, ο διακομιστής διαμόρφωσης διαπιστώθηκε ότι ήταν εκτός σύνδεσης, αφήνοντας απροσδιόριστο το ακριβές URL του ωφέλιμου φορτίου.

Το PromptSpy θεωρείται μια προηγμένη εξέλιξη μιας προηγουμένως μη καταγεγραμμένης απειλής Android, γνωστής ως VNCSpy.

Ενδείξεις απόδοσης και μοτίβα στόχευσης

Η ανάλυση των γλωσσικών τεχνουργημάτων και των μηχανισμών διανομής υποδηλώνει ότι η καμπάνια έχει οικονομικά κίνητρα και στοχεύει κυρίως χρήστες στην Αργεντινή. Ωστόσο, οι τεχνικοί δείκτες αποκαλύπτουν ότι το κακόβουλο λογισμικό πιθανότατα αναπτύχθηκε σε κινέζικο περιβάλλον, όπως αποδεικνύεται από τις συμβολοσειρές εντοπισμού σφαλμάτων γραμμένες σε απλοποιημένα κινέζικα που είναι ενσωματωμένες στη βάση κώδικα.

Προκλήσεις Απομάκρυνσης και Αμυντικές Επιπτώσεις

Λόγω της χρήσης αόρατων επικαλύψεων από το κακόβουλο λογισμικό και της κατάχρησης της προσβασιμότητας, οι συμβατικές μέθοδοι απεγκατάστασης είναι αναποτελεσματικές. Η μόνη αξιόπιστη προσέγγιση αποκατάστασης περιλαμβάνει την επανεκκίνηση της συσκευής σε ασφαλή λειτουργία, όπου οι εφαρμογές τρίτων απενεργοποιούνται, επιτρέποντας την κατάργηση του PromptSpy.

Η εμφάνιση του PromptSpy υπογραμμίζει μια σημαντική εξέλιξη στον σχεδιασμό κακόβουλου λογισμικού για Android. Αξιοποιώντας την παραγωγική τεχνητή νοημοσύνη (AI) για την ερμηνεία στοιχείων στην οθόνη και τον δυναμικό προσδιορισμό στρατηγικών αλληλεπίδρασης, οι απειλητικοί παράγοντες αποκτούν ένα επίπεδο προσαρμοστικότητας που προηγουμένως δεν ήταν εφικτό με στατικά σενάρια αυτοματοποίησης. Αντί να βασίζεται σε άκαμπτες, κωδικοποιημένες διαδρομές αλληλεπίδρασης, το κακόβουλο λογισμικό απλώς παρέχει στην AI ένα στιγμιότυπο οθόνης και λαμβάνει ακριβείς, βήμα προς βήμα οδηγίες σε αντάλλαγμα.

Αυτή η εξέλιξη σηματοδοτεί μια στροφή προς πιο αυτόνομες, ανθεκτικές και ανεξάρτητες από συσκευές απειλές για κινητά, σηματοδοτώντας ένα ανησυχητικό ορόσημο στη σύγκλιση της τεχνητής νοημοσύνης και του κυβερνοεγκλήματος.

Τάσεις

American Express - Απάτη μέσω email που απαιτείται...

Phishing, Ανεπιθύμητη αλληλογραφία
Η επαγρύπνηση κατά την αντιμετώπιση απροσδόκητων email είναι απαραίτητη στο σημερινό ψηφιακό περιβάλλον. Οι κυβερνοεγκληματίες συχνά μιμούνται αξιόπιστες μάρκες για να ξεγελάσουν τους παραλήπτες ώστε να αποκαλύψουν ευαίσθητες πληροφορίες. Η λεγόμενη απάτη μέσω email American Express - Account Access Update Needed είναι μια τέτοια εκστρατεία ηλεκτρονικού "ψαρέματος" (phishing). Αυτά τα email δεν...

Έχει ετοιμαστεί ιδιωτικό έγγραφο - Απάτη μέσω email

Phishing, Ανεπιθύμητη αλληλογραφία
Η διατήρηση της προσοχής κατά την αντιμετώπιση ανεπιθύμητων ή μη αναμενόμενων email είναι απαραίτητη στο σημερινό τοπίο απειλών. Οι κυβερνοεγκληματίες συχνά μεταμφιέζουν τα δόλια μηνύματα ως νόμιμες επικοινωνίες, προκειμένου να χειραγωγήσουν τους παραλήπτες ώστε να αποκαλύψουν ευαίσθητες πληροφορίες. Τα λεγόμενα email «Έχει ετοιμαστεί ιδιωτικό έγγραφο» δεν σχετίζονται με καμία νόμιμη εταιρεία,...

Περισσότερες εμφανίσεις

Κακόβουλο λογισμικό

Phishing, Ανεπιθύμητη αλληλογραφία
24,424
Το μήνυμα απάτης «Apple Pay Suspended» είναι ένας τύπος τακτικής phishing που στοχεύει χρήστες του Apple Pay. Το μήνυμα υποστηρίζει ότι το πορτοφόλι Apple Pay του χρήστη έχει τεθεί σε αναστολή και τους προτρέπει να κάνουν κλικ σε έναν σύνδεσμο για να το επαναφέρουν. Ωστόσο, κάνοντας κλικ στον σύνδεσμο θα μεταφερθεί ο χρήστης σε έναν ψεύτικο ιστότοπο που έχει σχεδιαστεί για να κλέβει τα...
Φόρτωση...