Zlonamjerni softver PromptSpy za Android
Istraživači kibernetičke sigurnosti identificirali su ono što se smatra prvim zlonamjernim softverom za Android koji je Gemini, Googleov generativni chatbot za umjetnu inteligenciju, pretvorio u oružje kao dio svog operativnog tijeka rada. Novootkrivena prijetnja, nazvana PromptSpy, integrira donošenje odluka temeljeno na umjetnoj inteligenciji u svoj lanac izvršenja i strategiju upornosti.
PromptSpy je dizajniran s opsežnim mogućnostima nadzora i kontrole. Njegova funkcionalnost uključuje prikupljanje podataka s zaključanog zaslona, blokiranje pokušaja deinstalacije, prikupljanje detaljnih informacija o uređaju, snimanje zaslona i snimanje aktivnosti na zaslonu u obliku videa. Primarni cilj zlonamjernog softvera je implementacija ugrađenog modula Virtual Network Computing (VNC), omogućujući napadačima udaljeni pristup kompromitiranim uređajima.
Sadržaj
Umjetna inteligencija kao automatizacijski mehanizam: Kako Gemini omogućuje upornost
Za razliku od tradicionalnog Android zlonamjernog softvera koji se oslanja na unaprijed definirane navigacijske putanje korisničkog sučelja (UI), PromptSpy koristi generativnu umjetnu inteligenciju za dinamičko tumačenje i interakciju sa zaslonima uređaja. Ugradnjom čvrsto kodiranog AI modela i upita, zlonamjerni softver dodjeljuje AI agentu ulogu "Android asistenta za automatizaciju".
Proces zaraze uključuje slanje upita na prirodnom jeziku Gemini-ju uz XML ispis trenutnog zaslona. Ova XML datoteka sadrži detaljne podatke o svakoj UI komponenti, uključujući tekstualne oznake, vrste elemenata i točne koordinate na zaslonu. Gemini obrađuje ulaz i vraća strukturirane JSON upute koje upućuju zlonamjerni softver o radnjama koje treba izvršiti, poput dodirivanja određenih UI elemenata i gdje ih izvršiti.
Ova višekoračna interakcija vođena umjetnom inteligencijom nastavlja se sve dok se zlonamjerna aplikacija uspješno ne prikvači na popis nedavnih aplikacija. Ostankom zaključane u ovom stanju, aplikacija se odupire uklanjanju ili prekidu od strane operativnog sustava, čime se postiže trajnost. Korištenje umjetne inteligencije eliminira ovisnost o čvrsto kodiranim sekvencama dodira, omogućujući zlonamjernom softveru da se besprijekorno prilagodi različitim uređajima, izgledima i verzijama Androida, značajno proširujući svoju potencijalnu bazu žrtava.
Zloupotreba pristupačnosti i infrastruktura daljinskog upravljanja
PromptSpy iskorištava Androidove usluge pristupačnosti za izvršavanje instrukcija generiranih umjetnom inteligencijom bez interakcije korisnika. Putem tih usluga može programski manipulirati sučeljem uređaja, a pritom ostati skriven.
Njegove operativne mogućnosti uključuju:
- Presretanje PIN-ova, lozinki i uzoraka za otključavanje zaslona
- Snimanje zaslona i aktivnosti na zaslonu na zahtjev
- Blokiranje pokušaja uklanjanja prekrivanjem nevidljivih elemenata korisničkog sučelja
- Uspostavljanje udaljenog pristupa putem ugrađenog VNC modula
Zlonamjerni softver komunicira s čvrsto kodiranim Command-and-Control (C2) poslužiteljem na '54.67.2.84' koristeći VNC protokol. Također dohvaća Gemini API ključ s ovog poslužitelja, omogućujući nastavak operacija vođenih umjetnom inteligencijom. Nevidljivi slojevi koriste se za sprječavanje korisničkih pokušaja deinstalacije aplikacije, učinkovito zarobljavajući žrtve osim ako se ne poduzmu određeni koraci sanacije.
Lanac infekcije i taktike socijalnog inženjeringa
PromptSpy se ne distribuira putem službenih tržišta aplikacija poput Google Playa. Umjesto toga, isporučuje se putem namjenske zlonamjerne web stranice 'mgardownload(dot)com', koja nudi aplikaciju za preuzimanje. Nakon što se instalira i pokrene, aplikacija za preuzimanje preusmjerava žrtve na drugu stranicu 'm-mgarg(dot)com'.
Operacija se maskira kao JPMorgan Chase pod nazivom 'MorganArg', što se odnosi na Morgan Argentina. Žrtve se društveno inženjeringom prisiljavaju da daju dopuštenje za instaliranje aplikacija iz nepoznatih izvora. Nakon toga, dropper kontaktira svoj poslužitelj kako bi dohvatio konfiguracijsku datoteku koja sadrži poveznicu za preuzimanje dodatne APK datoteke, predstavljene na španjolskom kao legitimno ažuriranje. Tijekom naknadne analize utvrđeno je da je konfiguracijski poslužitelj izvan mreže, pa točan URL sadržaja nije utvrđen.
PromptSpy se smatra naprednom evolucijom prethodno nedokumentirane Android prijetnje poznate kao VNCSpy.
Tragovi atribucije i obrasci ciljanja
Analiza jezičnih artefakata i mehanizama distribucije sugerira da je kampanja financijski motivirana i prvenstveno usmjerena na korisnike u Argentini. Međutim, tehnički pokazatelji otkrivaju da je zlonamjerni softver vjerojatno razvijen u kineskom govornom okruženju, što dokazuju nizovi za otklanjanje pogrešaka napisani na pojednostavljenom kineskom jeziku ugrađeni u kodnu bazu.
Izazovi uklanjanja i obrambene implikacije
Zbog korištenja nevidljivih slojeva i zlouporabe pristupačnosti od strane zlonamjernog softvera, konvencionalne metode deinstalacije su neučinkovite. Jedini pouzdan pristup sanaciji uključuje ponovno pokretanje uređaja u sigurnom načinu rada, gdje su aplikacije trećih strana onemogućene, što omogućuje uklanjanje PromptSpy-a.
Pojava PromptSpyja naglašava značajnu evoluciju u dizajnu zlonamjernog softvera za Android. Korištenjem generativne umjetne inteligencije za interpretaciju elemenata na zaslonu i dinamičko određivanje strategija interakcije, akteri prijetnji postižu razinu prilagodljivosti koja se prije nije mogla postići statičkim skriptama za automatizaciju. Umjesto oslanjanja na krute, kodirane putove interakcije, zlonamjerni softver jednostavno pruža umjetnoj inteligenciji snimku zaslona i zauzvrat prima precizne, detaljne upute.
Ovaj razvoj događaja signalizira pomak prema autonomnijim, otpornijim i mobilnim prijetnjama neovisnim o uređaju, što označava zabrinjavajuću prekretnicu u konvergenciji umjetne inteligencije i kibernetičkog kriminala.
