הצעת הנחה מרובה רישיונות
מסד נתונים של איומים תוכנה זדונית לנייד תוכנות זדוניות לאנדרואיד PromptSpy

תוכנות זדוניות לאנדרואיד PromptSpy

עד Mezo ב-תוכנה זדונית לנייד
לתרגם ל:

חוקרי אבטחת סייבר זיהו את מה שנחשב לתוכנה הזדונית הראשונה לאנדרואיד שהשתמשה ב-Gemini, הצ'אטבוט הבינה המלאכותית הגנרטיבית של גוגל, כחלק מתהליך העבודה התפעולי שלה. האיום שנחשף לאחרונה, שכונה PromptSpy, משלב קבלת החלטות המונעת על ידי בינה מלאכותית בשרשרת הביצוע ובאסטרטגיית ההתמדה שלו.

PromptSpy מתוכנן עם יכולות מעקב ובקרה נרחבות. הפונקציונליות שלו כוללת איסוף פרטי גישה למסך נעילה, חסימת ניסיונות הסרה, איסוף מידע מפורט על המכשיר, צילום מסך והקלטת פעילות על המסך כסרטון. המטרה העיקרית של הנוזקה היא לפרוס מודול מחשוב רשת וירטואלי (VNC) מוטמע, המעניק לתוקפים גישה מרחוק למכשירים שנפרצו.

בינה מלאכותית כמנוע אוטומציה: כיצד ג'מיני מאפשרת התמדה

בניגוד לתוכנות זדוניות מסורתיות לאנדרואיד, המסתמכות על נתיבי ניווט מוגדרים מראש בממשק משתמש (UI), PromptSpy ממנפת בינה מלאכותית גנרטורה כדי לפרש ולקיים אינטראקציה דינמית עם מסכי המכשיר. על ידי הטמעת מודל בינה מלאכותית מקודדים והודעה, התוכנה הזדונית מקצה לסוכן הבינה המלאכותית את התפקיד של "עוזר אוטומציה של אנדרואיד".

תהליך ההדבקה כרוך בשידור הנחיה בשפה טבעית ל-Gemini לצד קובץ XML dump של המסך הנוכחי. קובץ XML זה מכיל נתונים מפורטים על כל רכיב ממשק משתמש, כולל תוויות טקסט, סוגי אלמנטים וקואורדינטות מדויקות על המסך. Gemini מעבד את הקלט ומחזיר הוראות JSON מובנות המורות לתוכנה הזדונית לגבי הפעולות שיש לבצע, כגון הקשה על אלמנטים ספציפיים של ממשק משתמש, והיכן לבצע אותן.

אינטראקציה רב-שלבית זו, המונחית על ידי בינה מלאכותית, נמשכת עד שהאפליקציה הזדונית מוצמדת בהצלחה לרשימת האפליקציות האחרונות. על ידי הישארות נעולה במצב זה, האפליקציה מתנגדת להחלקה או סגירה על ידי מערכת ההפעלה, ובכך משיגה עמידות. השימוש בבינה מלאכותית מבטל את ההסתמכות על רצפי הקשה מקודדים, ומאפשרת לתוכנה הזדונית להסתגל בצורה חלקה למכשירים, פריסות וגרסאות אנדרואיד שונות, ובכך מרחיבה משמעותית את בסיס הקורבנות הפוטנציאלי שלה.

שימוש לרעה בנגישות ותשתית שליטה מרחוק

PromptSpy מנצל את שירותי הנגישות של אנדרואיד כדי לבצע הוראות שנוצרו על ידי בינה מלאכותית ללא התערבות המשתמש. באמצעות שירותים אלה, הוא יכול לתפעל את ממשק המכשיר באופן תכנותי תוך שהוא נשאר מוסתר.

יכולותיה המבצעיות כוללות:

  • יירוט קוד סודי של מסך נעילה, סיסמאות וקליטת תבנית פתיחה
  • צילום צילומי מסך והקלטת פעילות מסך לפי דרישה
  • חסימת ניסיונות הסרה על ידי שכבת רכיבי ממשק משתמש בלתי נראים
  • יצירת גישה מרחוק באמצעות מודול VNC מוטמע

הנוזקה מתקשרת עם שרת Command-and-Control (C2) מקודד בכתובת '54.67.2.84' באמצעות פרוטוקול VNC. היא גם מאחזרת את מפתח ה-API של Gemini משרת זה, מה שמאפשר המשך פעולות המונעות על ידי בינה מלאכותית. שכבות בלתי נראות משמשות כדי לחסום ניסיונות משתמשים להסיר את ההתקנה של האפליקציה, וללכוד למעשה קורבנות אלא אם כן ננקטים צעדי תיקון ספציפיים.

שרשרת הדבקה וטקטיקות הנדסה חברתית

PromptSpy אינו מופץ דרך שווקי אפליקציות רשמיים כמו Google Play. במקום זאת, הוא מופץ דרך אתר זדוני ייעודי, 'mgardownload(dot)com', המספק אפליקציית דרופר. לאחר ההתקנה וההפעלה, ה-dropper מפנה את הקורבנות לאתר אחר, 'm-mgarg(dot)com'.

הפעולה מתחזה ל-JPMorgan Chase תחת השם 'MorganArg', בהתייחסו למורגן ארגנטינה. הקורבנות עוברים הנדסה חברתית כדי לתת להם אישור להתקין אפליקציות ממקורות לא ידועים. לאחר מכן, האפליקציה יוצרת קשר עם השרת שלה כדי לאחזר קובץ תצורה המכיל קישור להורדת קובץ APK נוסף, המוצג בספרדית כעדכון לגיטימי. במהלך ניתוח נוסף, נמצא ששרת התצורה אינו מקוון, מה שהשאיר את כתובת האתר המדויקת של המטען לא ידועה.

PromptSpy נחשב לאבולוציה מתקדמת של איום אנדרואיד שלא תועד בעבר, המכונה VNCSpy.

רמזים לייחוס ודפוסי מיקוד

ניתוח של ממצאי שפה ומנגנוני הפצה מצביע על כך שהקמפיין מונע כלכלית ומכוון בעיקר למשתמשים בארגנטינה. עם זאת, אינדיקטורים טכניים מגלים כי התוכנה הזדונית פותחה ככל הנראה בסביבה דוברת סינית, כפי שמעידים מחרוזות ניפוי שגיאות שנכתבו בסינית פשוטה המוטמעות בבסיס הקוד.

אתגרי הסרה והשלכות הגנתיות

עקב השימוש של התוכנה הזדונית בשכבות בלתי נראות וניצול לרעה של נגישות, שיטות הסרה קונבנציונליות אינן יעילות. גישת התיקון האמינה היחידה כוללת אתחול המכשיר למצב בטוח, שבו יישומי צד שלישי מושבתים, מה שמאפשר להסיר את PromptSpy.

הופעתה של PromptSpy מדגישה התפתחות משמעותית בתכנון תוכנות זדוניות באנדרואיד. על ידי מינוף בינה מלאכותית גנרטורה כדי לפרש אלמנטים על המסך ולקבוע אסטרטגיות אינטראקציה באופן דינמי, גורמי איום משיגים רמת הסתגלות שלא הייתה מושגת בעבר עם סקריפטים אוטומטיביים סטטיים. במקום להסתמך על נתיבי אינטראקציה נוקשים ומקודדים, התוכנה הזדונית פשוט מספקת לבינה המלאכותית תמונת מסך ומקבלת בתמורה הוראות מדויקות, שלב אחר שלב.

התפתחות זו מאותתת על מעבר לעבר איומים ניידים אוטונומיים, עמידים יותר ותלויים במכשירים, ומסמנת אבן דרך מדאיגה בהתכנסות של בינה מלאכותית ופשיעת סייבר.

מגמות

אמריקן אקספרס - נדרש עדכון גישה לחשבון - הונאת דוא"ל

פישינג, ספאם
שמירה על ערנות בעת התמודדות עם מיילים בלתי צפויים היא חיונית בסביבה הדיגיטלית של ימינו. פושעי סייבר מתחזים לעתים קרובות למותגים מהימנים כדי להערים על נמענים ולגרום להם לחשוף מידע רגיש. מה שנקרא "אמריקן אקספרס - נדרש עדכון גישה לחשבון" הוא קמפיין פישינג כזה. מיילים אלה אינם קשורים לחברות, ארגונים או ישויות לגיטימיות, כולל אמריקן אקספרס האמיתית. במקום זאת, הם נוצרים על ידי נוכלים המבקשים לנצל את...

הוכן מסמך פרטי - הונאת דוא"ל

פישינג, ספאם
זהירות בעת התמודדות עם מיילים לא רצויים או בלתי צפויים היא חיונית בנוף האיומים של ימינו. פושעי סייבר מסווים לעתים קרובות הודעות הונאה כתקשורת לגיטימית על מנת לתמרן את הנמענים לחשוף מידע רגיש. מיילים מסוג "מסמך פרטי הוכן" אינם קשורים לחברות, ארגונים או ישויות לגיטימיות. במקום זאת, מדובר בניסיונות פישינג שנועדו לגנוב פרטי כניסה ולסכן חשבונות. מהי הונאת הדוא"ל 'הוכן מסמך פרטי'? ניתוח מעמיק...

הכי נצפה

תוכנה זדונית

פישינג, ספאם
24,424
הודעת ההונאה 'Apple Pay Suspended' היא סוג של טקטיקת פישינג המכוונת למשתמשים של Apple Pay. ההודעה טוענת כי ארנק Apple Pay של המשתמש הושעה וקוראת לו ללחוץ על קישור כדי לשחזר אותו. עם זאת, לחיצה על הקישור תוביל את המשתמש לאתר מזויף שנועד לגנוב את המידע האישי והפיננסי שלו. אם משתמש נופל קורבן לתוכנית זו, ההשלכות עלולות להיות חמורות, כולל הפסדים כספיים וגניבת זהות. חיוני לדעת לזהות ולהימנע...
טוען...