PromptSpy Android-haittaohjelma
Kyberturvallisuustutkijat ovat tunnistaneet uskotusti ensimmäisen Android-haittaohjelman, joka on aseistanut Geminiä, Googlen generatiivista tekoälychatbottia, osana sen operatiivista työnkulkua. Äskettäin paljastunut PromptSpy-niminen uhka integroi tekoälypohjaisen päätöksenteon suoritusketjuunsa ja pysyvyysstrategiaansa.
PromptSpy on suunniteltu kattavilla valvonta- ja hallintaominaisuuksilla. Sen toimintoihin kuuluvat lukitusnäytön tunnistetietojen kerääminen, poistoyritysten estäminen, yksityiskohtaisten laitetietojen kerääminen, kuvakaappausten ottaminen ja näytön toiminnan tallentaminen videona. Haittaohjelman ensisijainen tavoite on ottaa käyttöön sulautettu Virtual Network Computing (VNC) -moduuli, joka antaa hyökkääjille etäkäytön vaarantuneisiin laitteisiin.
Sisällysluettelo
Tekoäly automaatiomoottorina: Kuinka Gemini mahdollistaa pysyvyyden
Toisin kuin perinteiset Android-haittaohjelmat, jotka perustuvat ennalta määriteltyihin käyttöliittymän (UI) navigointipolkuihin, PromptSpy hyödyntää generatiivista tekoälyä tulkitakseen ja ollakseen vuorovaikutuksessa laitteen näyttöjen kanssa dynaamisesti. Upottamalla kovakoodatun tekoälymallin ja -kehotteen haittaohjelma määrittää tekoälyagentille "Android-automaatioavustaja" -roolin.
Tartuntaprosessiin kuuluu luonnollisella kielellä kirjoitetun kehotteen lähettäminen Gemini-ohjelmalle yhdessä nykyisen näytön XML-vedoksen kanssa. Tämä XML-tiedosto sisältää yksityiskohtaista tietoa jokaisesta käyttöliittymän komponentista, mukaan lukien tekstiotsikot, elementtityypit ja tarkat näytön koordinaatit. Gemini käsittelee syötteen ja palauttaa jäsenneltyjä JSON-ohjeita, jotka ohjaavat haittaohjelmaa suoritettaviin toimiin, kuten tiettyjen käyttöliittymäelementtien napauttamiseen, ja niiden suorittamispaikkaan.
Tämä monivaiheinen tekoälyn ohjaama vuorovaikutus jatkuu, kunnes haitallinen sovellus on onnistuneesti kiinnitetty viimeisimpien sovellusten luetteloon. Pysymällä lukittuna tässä tilassa sovellus vastustaa käyttöjärjestelmän pyyhkäisyä pois tai sulkemista, jolloin saavutetaan pysyvyys. Tekoälyn käyttö poistaa riippuvuuden kovakoodatuista napautussarjoista, jolloin haittaohjelma voi sopeutua saumattomasti eri laitteisiin, asetteluihin ja Android-versioihin, mikä laajentaa merkittävästi potentiaalista uhrikuntaansa.
Esteettömyysvähennykset ja etähallintainfrastruktuuri
PromptSpy hyödyntää Androidin esteettömyyspalveluita tekoälyn luomien ohjeiden suorittamiseen ilman käyttäjän toimia. Näiden palveluiden avulla se voi manipuloida laitteen käyttöliittymää ohjelmallisesti pysyen piilossa.
Sen operatiivisiin ominaisuuksiin kuuluvat:
- Lukitusnäytön PIN-koodien, salasanojen ja kuvioiden syötteiden sieppaaminen
- Kuvakaappausten ottaminen ja näytön toiminnan tallentaminen pyynnöstä
- Poistoyritysten estäminen päällekkäin näkymättömien käyttöliittymäelementtien avulla
- Etäkäytön muodostaminen upotetun VNC-moduulin kautta
Haittaohjelma kommunikoi kovakoodatun Command-and-Control (C2) -palvelimen kanssa osoitteessa '54.67.2.84' VNC-protokollan avulla. Se myös hakee Gemini API -avaimen tältä palvelimelta, mikä mahdollistaa tekoälyn ohjaamien toimintojen jatkumisen. Näkymättömiä peittokuvia käytetään estämään käyttäjien yrityksiä poistaa sovellusta, mikä tehokkaasti vangitsee uhrit, ellei tiettyjä korjaavia toimenpiteitä tehdä.
Tartuntaketju ja sosiaalisen manipuloinnin taktiikat
PromptSpy-sovellusta ei jaeta virallisten sovelluskauppapaikkojen, kuten Google Playn, kautta. Sen sijaan se toimitetaan haitallisen verkkosivuston 'mgardownload(dot)com' kautta, joka tarjoaa dropper-sovelluksen. Asennuksen ja suorituksen jälkeen dropper ohjaa uhrit toiselle sivustolle, 'm-mgarg(dot)com'.
Operaatio naamioituu JPMorgan Chaseksi nimellä 'MorganArg', viitaten Morgan Argentinaan. Uhrit manipuloidaan sosiaalisesti antamaan lupa asentaa sovelluksia tuntemattomista lähteistä. Tämän jälkeen dripperi ottaa yhteyttä palvelimeensa hakeakseen asetustiedoston, joka sisältää linkin ylimääräisen APK-tiedoston lataamiseen. APK-tiedosto esitetään espanjaksi laillisena päivityksenä. Myöhemmässä analyysissä määrityspalvelimen havaittiin olevan offline-tilassa, joten tarkka hyötykuorman URL-osoite jäi epäselväksi.
PromptSpyä pidetään aiemmin dokumentoimattoman VNCSpy-nimisen Android-uhan edistyneenä kehitysaskeleena.
Attribuutiovihjeet ja kohdistusmallit
Kieliartefaktien ja jakelumekanismien analyysi viittaa siihen, että kampanja on taloudellisesti motivoitunut ja kohdistuu ensisijaisesti käyttäjiin Argentiinassa. Tekniset indikaattorit kuitenkin paljastavat, että haittaohjelma on todennäköisesti kehitetty kiinankielisessä ympäristössä, mistä on osoituksena koodikantaan upotetut yksinkertaistetulla kiinalla kirjoitetut virheenkorjausmerkkijonot.
Poistohaasteet ja puolustavat seuraukset
Koska haittaohjelma käyttää näkymättömiä peittokuvia ja käyttää esteitä väärin, perinteiset poistomenetelmät ovat tehottomia. Ainoa luotettava korjaustapa on käynnistää laite uudelleen vikasietotilassa, jossa kolmannen osapuolen sovellukset on poistettu käytöstä, jolloin PromptSpy voidaan poistaa.
PromptSpyn esiinmarssi korostaa merkittävää kehitystä Android-haittaohjelmien suunnittelussa. Hyödyntämällä generatiivista tekoälyä näytön elementtien tulkitsemiseen ja vuorovaikutusstrategioiden dynaamiseen määrittämiseen uhkatoimijat saavuttavat sopeutumiskyvyn, joka ei aiemmin ollut saavutettavissa staattisilla automaatioskripteillä. Jäykkien, kovakoodattujen vuorovaikutuspolkujen sijaan haittaohjelma yksinkertaisesti antaa tekoälylle näyttökuvan ja saa vastineeksi tarkat, vaiheittaiset ohjeet.
Tämä kehitys viestii siirtymisestä kohti autonomisempia, vikasietoisempia ja laiteriippumattomia mobiiliuhkia ja on huolestuttava virstanpylväs tekoälyn ja kyberrikollisuuden lähentymisessä.
