PromptSpy Androidi pahavara
Küberturvalisuse uurijad on tuvastanud arvatavasti esimese Androidi pahavara, mis muudab Gemini, Google'i genereeriva tehisintellekti vestlusroboti, selle operatiivse töövoo osana relvaks. Äsja avastatud oht, hüüdnimega PromptSpy, integreerib tehisintellektil põhineva otsustusprotsessi oma täitmisahelasse ja püsivusstrateegiasse.
PromptSpy on loodud ulatuslike jälgimis- ja kontrollivõimalustega. Selle funktsioonide hulka kuuluvad lukustuskuva mandaatide kogumine, desinstallimiskatsete blokeerimine, üksikasjaliku seadmeteabe kogumine, ekraanipiltide jäädvustamine ja ekraanil toimuva tegevuse salvestamine videona. Pahavara peamine eesmärk on juurutada manustatud virtuaalse võrguarvutuse (VNC) moodul, mis annab ründajatele kaugjuurdepääsu ohustatud seadmetele.
Sisukord
Tehisintellekt kui automatiseerimismootor: kuidas Gemini võimaldab püsivust
Erinevalt traditsioonilisest Androidi pahavarast, mis tugineb eelnevalt määratletud kasutajaliidese (UI) navigeerimisteedele, kasutab PromptSpy genereerivat tehisintellekti seadme ekraanide dünaamiliseks tõlgendamiseks ja nendega suhtlemiseks. Kõvakodeeritud tehisintellekti mudeli ja viiba manustamisega määrab pahavara tehisintellekti agendile „Androidi automatiseerimisassistendi” rolli.
Nakatumisprotsessi käigus edastatakse Geminile loomulikus keeles käsk koos praeguse ekraani XML-väljavõttega. See XML-fail sisaldab iga kasutajaliidese komponendi kohta üksikasjalikke andmeid, sealhulgas tekstisilte, elementide tüüpe ja täpseid ekraanil kuvatavaid koordinaate. Gemini töötleb sisendit ja tagastab struktureeritud JSON-juhised, mis annavad pahavarale juhiseid toimingute, näiteks konkreetsete kasutajaliidese elementide puudutamise ja nende täitmise koha kohta.
See mitmeastmeline tehisintellekti juhitav interaktsioon jätkub seni, kuni pahatahtlik rakendus on edukalt hiljutiste rakenduste loendisse kinnitatud. Sellesse olekusse lukustatuna püsides ei saa operatsioonisüsteem rakendust eemaldada ega sulgeda, saavutades seeläbi püsivuse. Tehisintellekti kasutamine välistab sõltuvuse kõvakodeeritud puudutusjadadest, võimaldades pahavaral sujuvalt kohaneda erinevate seadmete, paigutuste ja Androidi versioonidega, laiendades oluliselt oma potentsiaalset ohvribaasi.
Ligipääsetavuse kuritarvitamine ja kaugjuhtimise infrastruktuur
PromptSpy kasutab Androidi ligipääsetavuse teenuseid, et täita tehisintellekti loodud juhiseid ilma kasutaja sekkumiseta. Nende teenuste kaudu saab see seadme liidest programmiliselt manipuleerida, jäädes samal ajal varjatuks.
Selle operatiivsete võimete hulka kuuluvad:
- Lukustuskuva PIN-koodide, paroolide ja mustri avamise sisendite pealtkuulamine
- Ekraanipiltide jäädvustamine ja ekraanitegevuse salvestamine nõudmisel
- Eemaldamiskatsete blokeerimine nähtamatute kasutajaliidese elementide pealekandmisega
- Kaugjuurdepääsu loomine sisseehitatud VNC-mooduli kaudu
Pahavara suhtleb kõvakodeeritud Command-and-Control (C2) serveriga aadressil '54.67.2.84' VNC protokolli abil. See hangib sellelt serverilt ka Gemini API võtme, mis võimaldab tehisintellektil põhinevaid toiminguid jätkata. Nähtamatuid kihte kasutatakse rakenduse desinstallimise takistamiseks, lõksu jättes ohvrid, kui ei võeta konkreetseid parandusmeetmeid.
Nakkusahel ja sotsiaalse manipuleerimise taktika
PromptSpyt ei levitata ametlike rakenduste turgude, näiteks Google Play, kaudu. Selle asemel edastatakse see spetsiaalse pahatahtliku veebisaidi „mgardownload(dot)com” kaudu, mis pakub dropper-rakendust. Pärast installimist ja käivitamist suunab dropper ohvrid teisele saidile „m-mgarg(dot)com”.
Operatsioon maskeerub JPMorgan Chase'iks nime „MorganArg” all, viidates Morgan Argentinale. Ohvreid manipuleeritakse sotsiaalselt andma luba rakenduste installimiseks tundmatutest allikatest. Seejärel võtab dropper ühendust oma serveriga, et hankida konfiguratsioonifail, mis sisaldab linki täiendava APK-faili allalaadimiseks, mis esitatakse hispaania keeles legitiimse värskendusena. Järgneva analüüsi käigus leiti, et konfiguratsiooniserver on võrguühenduseta, mistõttu täpne sisu URL on määramata.
PromptSpyt peetakse varem dokumenteerimata Androidi ohu VNCSpy edasiarenduseks.
Omistamisvihjed ja sihtimismustrid
Keeleliste artefaktide ja levitusmehhanismide analüüs viitab sellele, et kampaania on rahaliselt motiveeritud ja suunatud peamiselt Argentina kasutajatele. Tehnilised näitajad näitavad aga, et pahavara töötati tõenäoliselt välja hiinakeelses keskkonnas, mida tõendavad koodibaasi manustatud lihtsustatud hiina keeles kirjutatud silumisstringid.
Eemaldamise väljakutsed ja kaitsvad tagajärjed
Kuna pahavara kasutab nähtamatuid kihte ja kuritarvitab ligipääsetavust, on tavapärased desinstallimismeetodid ebaefektiivsed. Ainus usaldusväärne lahendusviis on seadme taaskäivitamine turvarežiimis, kus kolmandate osapoolte rakendused on keelatud, võimaldades PromptSpy eemaldamist.
PromptSpy ilmumine rõhutab Androidi pahavara disaini olulist arengut. Generatiivse tehisintellekti abil ekraanil kuvatavate elementide tõlgendamiseks ja interaktsioonistrateegiate dünaamiliseks määramiseks saavutavad ohutegijad kohanemisvõime, mis oli varem staatiliste automatiseerimisskriptidega saavutamatu. Jäikade, kõvakodeeritud interaktsiooniteede asemel annab pahavara tehisintellektile lihtsalt ekraanipildi ja saab vastutasuks täpsed samm-sammult juhised.
See areng annab märku nihkest autonoomsemate, vastupidavamate ja seadmest sõltumatute mobiilsete ohtude suunas, mis on murettekitav verstapost tehisintellekti ja küberkuritegevuse lähenemises.
