PromptSpy Android Malware
साइबर सुरक्षा शोधकर्ताओं ने एक ऐसे एंड्रॉइड मैलवेयर की पहचान की है, जिसके बारे में माना जाता है कि यह गूगल के जनरेटिव आर्टिफिशियल इंटेलिजेंस चैटबॉट जेमिनी को अपने परिचालन कार्यप्रवाह के हिस्से के रूप में हथियार के तौर पर इस्तेमाल करता है। प्रॉम्प्टस्पाई नामक यह नया खतरा, एआई-आधारित निर्णय लेने की प्रक्रिया को अपनी निष्पादन श्रृंखला और निरंतरता रणनीति में एकीकृत करता है।
PromptSpy को व्यापक निगरानी और नियंत्रण क्षमताओं के साथ डिज़ाइन किया गया है। इसकी कार्यक्षमता में लॉकस्क्रीन क्रेडेंशियल्स को इकट्ठा करना, अनइंस्टॉलेशन के प्रयासों को रोकना, डिवाइस की विस्तृत जानकारी एकत्र करना, स्क्रीनशॉट लेना और स्क्रीन पर होने वाली गतिविधियों को वीडियो के रूप में रिकॉर्ड करना शामिल है। इस मैलवेयर का मुख्य उद्देश्य एक एम्बेडेड वर्चुअल नेटवर्क कंप्यूटिंग (VNC) मॉड्यूल को तैनात करना है, जिससे हमलावरों को प्रभावित डिवाइसों तक दूरस्थ पहुंच प्राप्त हो जाती है।
विषयसूची
स्वचालन इंजन के रूप में एआई: जेमिनी किस प्रकार निरंतरता को सक्षम बनाता है
परंपरागत एंड्रॉइड मैलवेयर के विपरीत, जो पूर्वनिर्धारित यूजर इंटरफेस (यूआई) नेविगेशन पथों पर निर्भर करता है, प्रॉम्प्टस्पाई जनरेटिव एआई का उपयोग करके डिवाइस स्क्रीन को गतिशील रूप से व्याख्या करता है और उनके साथ इंटरैक्ट करता है। एक हार्ड-कोडेड एआई मॉडल और प्रॉम्प्ट को एम्बेड करके, मैलवेयर एआई एजेंट को 'एंड्रॉइड ऑटोमेशन असिस्टेंट' की भूमिका सौंपता है।
संक्रमण प्रक्रिया में जेमिनी को प्राकृतिक भाषा में एक संकेत और वर्तमान स्क्रीन का XML डंप भेजा जाता है। इस XML फ़ाइल में प्रत्येक UI घटक का विस्तृत डेटा होता है, जिसमें टेक्स्ट लेबल, तत्व प्रकार और स्क्रीन पर सटीक निर्देशांक शामिल होते हैं। जेमिनी इनपुट को संसाधित करता है और संरचित JSON निर्देश लौटाता है जो मैलवेयर को यह निर्देश देते हैं कि उसे कौन से कार्य करने हैं, जैसे कि विशिष्ट UI तत्वों पर टैप करना और उन्हें कहाँ निष्पादित करना है।
यह बहु-चरणीय एआई-निर्देशित प्रक्रिया तब तक जारी रहती है जब तक कि दुर्भावनापूर्ण एप्लिकेशन हाल ही में उपयोग किए गए ऐप्स की सूची में सफलतापूर्वक लॉक नहीं हो जाता। इस स्थिति में लॉक रहने से, ऐप को स्वाइप करके हटाया या ऑपरेटिंग सिस्टम द्वारा बंद नहीं किया जा सकता, जिससे यह स्थायी रूप से मौजूद रहता है। एआई के उपयोग से हार्डकोडेड टैप अनुक्रमों पर निर्भरता समाप्त हो जाती है, जिससे मैलवेयर विभिन्न उपकरणों, लेआउट और एंड्रॉइड संस्करणों के अनुकूल आसानी से ढल जाता है, और इसके संभावित शिकारों की संख्या में काफी वृद्धि होती है।
पहुँच का दुरुपयोग और रिमोट कंट्रोल अवसंरचना
PromptSpy एंड्रॉइड की एक्सेसिबिलिटी सेवाओं का लाभ उठाकर उपयोगकर्ता के हस्तक्षेप के बिना ही AI द्वारा उत्पन्न निर्देशों को निष्पादित करता है। इन सेवाओं के माध्यम से, यह गुप्त रहते हुए प्रोग्रामेटिक रूप से डिवाइस इंटरफ़ेस में हेरफेर कर सकता है।
इसकी परिचालन क्षमताओं में निम्नलिखित शामिल हैं:
- लॉकस्क्रीन पिन, पासवर्ड और पैटर्न अनलॉक इनपुट को इंटरसेप्ट करना
- आवश्यकता पड़ने पर स्क्रीनशॉट लेना और स्क्रीन गतिविधि रिकॉर्ड करना
- अदृश्य UI तत्वों को ओवरले करके हटाने के प्रयासों को अवरुद्ध करना
- एम्बेडेड वीएनसी मॉड्यूल के माध्यम से रिमोट एक्सेस स्थापित करना
यह मैलवेयर VNC प्रोटोकॉल का उपयोग करके '54.67.2.84' पर स्थित एक हार्ड-कोडेड कमांड-एंड-कंट्रोल (C2) सर्वर से संपर्क करता है। यह इसी सर्वर से जेमिनी API कुंजी भी प्राप्त करता है, जिससे AI-आधारित संचालन जारी रह पाता है। ऐप को अनइंस्टॉल करने के उपयोगकर्ता के प्रयासों को बाधित करने के लिए अदृश्य ओवरले का उपयोग किया जाता है, जिससे पीड़ित तब तक फंसे रहते हैं जब तक कि विशिष्ट निवारण उपाय नहीं किए जाते।
संक्रमण श्रृंखला और सामाजिक इंजीनियरिंग रणनीति
PromptSpy को Google Play जैसे आधिकारिक ऐप मार्केटप्लेस के माध्यम से वितरित नहीं किया जाता है। इसके बजाय, इसे एक विशेष दुर्भावनापूर्ण वेबसाइट, 'mgardownload(dot)com' के माध्यम से वितरित किया जाता है, जो एक ड्रॉपर एप्लिकेशन प्रदान करती है। इंस्टॉल और एक्जीक्यूट होने के बाद, ड्रॉपर पीड़ितों को दूसरी साइट, 'm-mgarg(dot)com' पर रीडायरेक्ट कर देता है।
यह ऑपरेशन 'मॉर्गनआर्ग' नाम से जेपी मॉर्गन चेस के रूप में काम करता है, जो मॉर्गन अर्जेंटीना का संदर्भ देता है। पीड़ितों को सोशल इंजीनियरिंग के ज़रिए अज्ञात स्रोतों से एप्लिकेशन इंस्टॉल करने की अनुमति देने के लिए बहकाया जाता है। इसके बाद, डेटा भेजने वाला अपने सर्वर से संपर्क करके एक कॉन्फ़िगरेशन फ़ाइल प्राप्त करता है जिसमें एक अतिरिक्त APK फ़ाइल डाउनलोड करने का लिंक होता है, जिसे स्पेनिश भाषा में एक वैध अपडेट के रूप में प्रस्तुत किया जाता है। बाद के विश्लेषण के दौरान, कॉन्फ़िगरेशन सर्वर ऑफ़लाइन पाया गया, जिससे सटीक पेलोड URL का पता नहीं चल सका।
PromptSpy को VNCSpy नामक एक पहले से अज्ञात एंड्रॉइड खतरे का उन्नत रूप माना जाता है।
अभिकथन संकेत और लक्ष्यीकरण पैटर्न
भाषा संबंधी साक्ष्यों और वितरण तंत्रों के विश्लेषण से पता चलता है कि यह अभियान आर्थिक लाभ के लिए चलाया गया है और मुख्य रूप से अर्जेंटीना के उपयोगकर्ताओं को लक्षित करता है। हालांकि, तकनीकी संकेतकों से यह संकेत मिलता है कि मैलवेयर संभवतः चीनी भाषी वातावरण में विकसित किया गया था, जैसा कि कोडबेस में एम्बेडेड सरलीकृत चीनी भाषा में लिखी गई डिबग स्ट्रिंग्स से स्पष्ट होता है।
निष्कासन संबंधी चुनौतियाँ और रक्षात्मक निहितार्थ
इस मैलवेयर द्वारा अदृश्य ओवरले और एक्सेसिबिलिटी के दुरुपयोग के कारण, इसे हटाने के पारंपरिक तरीके कारगर नहीं हैं। इसका एकमात्र विश्वसनीय उपाय डिवाइस को सेफ मोड में रीबूट करना है, जहां थर्ड-पार्टी एप्लिकेशन निष्क्रिय हो जाते हैं, जिससे प्रॉम्प्टस्पाई को हटाया जा सकता है।
प्रॉम्प्टस्पाई का उदय एंड्रॉइड मैलवेयर डिज़ाइन में एक महत्वपूर्ण विकास को दर्शाता है। जनरेटिव एआई का उपयोग करके, जो स्क्रीन पर मौजूद तत्वों की व्याख्या करता है और गतिशील रूप से इंटरैक्शन रणनीतियों को निर्धारित करता है, हमलावर ऐसी अनुकूलन क्षमता प्राप्त कर लेते हैं जो पहले स्थिर स्वचालन स्क्रिप्ट के साथ संभव नहीं थी। कठोर, हार्डकोडेड इंटरैक्शन पथों पर निर्भर रहने के बजाय, मैलवेयर केवल एआई को स्क्रीनशॉट प्रदान करता है और बदले में सटीक, चरण-दर-चरण निर्देश प्राप्त करता है।
यह घटनाक्रम अधिक स्वायत्त, लचीले और उपकरण-स्वतंत्र मोबाइल खतरों की ओर एक बदलाव का संकेत देता है, जो कृत्रिम बुद्धिमत्ता और साइबर अपराध के अभिसरण में एक चिंताजनक मील का पत्थर है।
