بدافزار اندرویدی PromptSpy

محققان امنیت سایبری چیزی را شناسایی کرده‌اند که گمان می‌رود اولین بدافزار اندرویدی باشد که از Gemini، چت‌بات هوش مصنوعی مولد گوگل، به عنوان بخشی از گردش کار عملیاتی خود استفاده می‌کند. این تهدید تازه کشف شده که PromptSpy نام دارد، تصمیم‌گیری مبتنی بر هوش مصنوعی را در زنجیره اجرا و استراتژی پایداری خود ادغام می‌کند.

PromptSpy با قابلیت‌های نظارت و کنترل گسترده طراحی شده است. قابلیت‌های آن شامل جمع‌آوری اطلاعات احراز هویت صفحه قفل، مسدود کردن تلاش‌های حذف برنامه، جمع‌آوری اطلاعات دقیق دستگاه، گرفتن اسکرین‌شات و ضبط فعالیت‌های روی صفحه به صورت ویدیو است. هدف اصلی این بدافزار، استقرار یک ماژول محاسبات شبکه مجازی (VNC) تعبیه‌شده است که به مهاجمان امکان دسترسی از راه دور به دستگاه‌های آسیب‌دیده را می‌دهد.

هوش مصنوعی به عنوان یک موتور اتوماسیون: چگونه Gemini پایداری را ممکن می‌سازد

برخلاف بدافزارهای سنتی اندروید که به مسیرهای ناوبری رابط کاربری (UI) از پیش تعریف‌شده متکی هستند، PromptSpy از هوش مصنوعی مولد برای تفسیر پویا و تعامل با صفحات دستگاه استفاده می‌کند. این بدافزار با تعبیه یک مدل هوش مصنوعی کدگذاری‌شده و اعلان، به عامل هوش مصنوعی نقش «دستیار اتوماسیون اندروید» را می‌دهد.

فرآیند آلوده‌سازی شامل ارسال یک پیام به زبان طبیعی به Gemini در کنار یک فایل XML از صفحه نمایش فعلی است. این فایل XML حاوی داده‌های جزئی در مورد هر جزء رابط کاربری، از جمله برچسب‌های متنی، انواع عناصر و مختصات دقیق روی صفحه نمایش است. Gemini ورودی را پردازش کرده و دستورالعمل‌های ساختاریافته JSON را برمی‌گرداند که بدافزار را در مورد اقدامات لازم برای انجام، مانند ضربه زدن به عناصر خاص رابط کاربری، و محل اجرای آنها راهنمایی می‌کند.

این تعامل چند مرحله‌ای که توسط هوش مصنوعی هدایت می‌شود، تا زمانی که برنامه مخرب با موفقیت در لیست برنامه‌های اخیر پین شود، ادامه می‌یابد. با قفل ماندن در این حالت، برنامه در برابر حذف شدن یا خاتمه یافتن توسط سیستم عامل مقاومت می‌کند و در نتیجه به ماندگاری دست می‌یابد. استفاده از هوش مصنوعی، وابستگی به توالی‌های ضربه‌ایِ کدگذاری‌شده را از بین می‌برد و به بدافزار اجازه می‌دهد تا به طور یکپارچه با دستگاه‌ها، طرح‌بندی‌ها و نسخه‌های مختلف اندروید سازگار شود و به طور قابل توجهی پایگاه قربانیان بالقوه خود را گسترش دهد.

سوءاستفاده از دسترسی و زیرساخت کنترل از راه دور

PromptSpy از سرویس‌های دسترسی اندروید برای اجرای دستورالعمل‌های تولید شده توسط هوش مصنوعی بدون تعامل کاربر سوءاستفاده می‌کند. از طریق این سرویس‌ها، می‌تواند رابط دستگاه را به صورت برنامه‌نویسی شده دستکاری کند، در حالی که پنهان می‌ماند.

قابلیت‌های عملیاتی آن عبارتند از:

• رهگیری پین‌ها، رمزهای عبور و ورودی‌های باز کردن قفل صفحه نمایش
• گرفتن اسکرین‌شات و ضبط فعالیت صفحه نمایش در صورت تقاضا
• مسدود کردن تلاش‌های حذف با پوشاندن عناصر رابط کاربری نامرئی
• ایجاد دسترسی از راه دور از طریق ماژول VNC تعبیه شده

این بدافزار با استفاده از پروتکل VNC با یک سرور فرماندهی و کنترل (C2) با کد ثابت در آدرس '54.67.2.84' ارتباط برقرار می‌کند. همچنین کلید API مربوط به Gemini را از این سرور بازیابی می‌کند و امکان ادامه عملیات مبتنی بر هوش مصنوعی را فراهم می‌کند. از پوشش‌های نامرئی برای جلوگیری از تلاش‌های کاربر برای حذف برنامه استفاده می‌شود و در واقع قربانیان را به دام می‌اندازد، مگر اینکه اقدامات اصلاحی خاصی انجام شود.

زنجیره عفونت و تاکتیک‌های مهندسی اجتماعی

PromptSpy از طریق بازارهای رسمی برنامه‌ها مانند Google Play توزیع نمی‌شود. در عوض، از طریق یک وب‌سایت مخرب اختصاصی به نام 'mgardownload(dot)com' ارائه می‌شود که یک برنامه‌ی dropper را ارائه می‌دهد. پس از نصب و اجرا، dropper قربانیان را به سایت دیگری به نام 'm-mgarg(dot)com' هدایت می‌کند.

این عملیات خود را به عنوان JPMorgan Chase با نام «MorganArg» که به مورگان آرژانتین اشاره دارد، معرفی می‌کند. قربانیان از نظر اجتماعی مهندسی می‌شوند تا اجازه نصب برنامه‌ها از منابع ناشناخته را دریافت کنند. پس از آن، بدافزار با سرور خود تماس می‌گیرد تا یک فایل پیکربندی حاوی لینکی برای دانلود یک فایل APK اضافی را که به زبان اسپانیایی به عنوان یک به‌روزرسانی قانونی ارائه شده است، بازیابی کند. در طول تجزیه و تحلیل‌های بعدی، مشخص شد که سرور پیکربندی آفلاین است و URL دقیق payload نامشخص است.

PromptSpy نسخه‌ی تکامل‌یافته‌ی پیشرفته‌ی یک تهدید اندرویدیِ قبلاً ناشناخته به نام VNCSpy محسوب می‌شود.

سرنخ‌های انتساب و الگوهای هدف‌گیری

تجزیه و تحلیل مصنوعات زبانی و مکانیسم‌های توزیع نشان می‌دهد که این کمپین با انگیزه مالی انجام شده و در درجه اول کاربران آرژانتینی را هدف قرار می‌دهد. با این حال، شاخص‌های فنی نشان می‌دهند که این بدافزار احتمالاً در یک محیط چینی زبان توسعه یافته است، همانطور که رشته‌های اشکال‌زدایی نوشته شده به زبان چینی ساده شده که در پایگاه کد جاسازی شده‌اند، گواه این موضوع هستند.

چالش‌های حذف و پیامدهای دفاعی

به دلیل استفاده این بدافزار از لایه‌های نامرئی و سوءاستفاده از دسترسی، روش‌های معمول حذف نصب بی‌اثر هستند. تنها رویکرد قابل اعتماد برای رفع مشکل، راه‌اندازی مجدد دستگاه در حالت ایمن است که در آن برنامه‌های شخص ثالث غیرفعال می‌شوند و امکان حذف PromptSpy فراهم می‌شود.

ظهور PromptSpy نشان‌دهنده‌ی یک تکامل قابل توجه در طراحی بدافزارهای اندرویدی است. با بهره‌گیری از هوش مصنوعی مولد برای تفسیر عناصر روی صفحه و تعیین پویای استراتژی‌های تعامل، عاملان تهدید به سطحی از سازگاری دست می‌یابند که قبلاً با اسکریپت‌های خودکار استاتیک غیرقابل دستیابی بود. این بدافزار به جای تکیه بر مسیرهای تعاملی سفت و سخت و کدگذاری شده، به سادگی یک عکس فوری از صفحه نمایش را در اختیار هوش مصنوعی قرار می‌دهد و در عوض دستورالعمل‌های دقیق و گام به گام دریافت می‌کند.

این تحول، نشان‌دهنده‌ی تغییر به سمت تهدیدهای موبایلی مستقل‌تر، انعطاف‌پذیرتر و مستقل از دستگاه است و نقطه‌ی عطفی نگران‌کننده در همگرایی هوش مصنوعی و جرایم سایبری محسوب می‌شود.