Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Mobil rosszindulatú program PromptSpy Android kártevő

PromptSpy Android kártevő

Mezo -ra Mobil rosszindulatú program-ben
Fordítás ide:

Kiberbiztonsági kutatók azonosították a vélhetően első Android-kártevőt, amely fegyverként használhatja a Geminit, a Google generatív mesterséges intelligencián alapuló chatbotját, annak működési munkafolyamatának részeként. Az újonnan felfedezett PromptSpy névre keresztelt fenyegetés mesterséges intelligencia által vezérelt döntéshozatalt integrál a végrehajtási láncába és a felügyeleti stratégiájába.

A PromptSpy kiterjedt megfigyelési és vezérlési képességekkel rendelkezik. Funkciói közé tartozik a zárolási képernyő hitelesítő adatainak begyűjtése, az eltávolítási kísérletek blokkolása, részletes eszközinformációk gyűjtése, képernyőképek készítése és a képernyőn megjelenő tevékenységek videóként történő rögzítése. A rosszindulatú program elsődleges célja egy beágyazott virtuális hálózati számítástechnikai (VNC) modul telepítése, amely távoli hozzáférést biztosít a támadóknak a feltört eszközökhöz.

MI, mint automatizálási motor: Hogyan teszi lehetővé a Gemini a kitartást?

A hagyományos, előre definiált felhasználói felület (UI) navigációs útvonalakra támaszkodó Android-malware-ekkel ellentétben a PromptSpy generatív mesterséges intelligenciát használ az eszközök képernyőinek dinamikus értelmezéséhez és az azokkal való interakcióhoz. Egy fixen kódolt MI-modell és -prompt beágyazásával a rosszindulatú program az MI-ügynököt egy „Android automatizálási asszisztens” szerepkörével ruházza fel.

A fertőzési folyamat során egy természetes nyelvű promptot küldenek a Gemininek az aktuális képernyő XML-dumpjával együtt. Ez az XML-fájl részletes adatokat tartalmaz az egyes felhasználói felület-összetevőkről, beleértve a szöveges címkéket, az elemtípusokat és a pontos képernyőn megjelenő koordinátákat. A Gemini feldolgozza a bemenetet, és strukturált JSON utasításokat ad vissza, amelyek utasítják a rosszindulatú programot a végrehajtandó műveletekre, például az adott felhasználói felület-elemek megérintésére és azok végrehajtásának helyére.

Ez a többlépéses, mesterséges intelligencia által vezérelt interakció addig folytatódik, amíg a rosszindulatú alkalmazást sikeresen nem rögzítik a legutóbbi alkalmazások listájában. Azzal, hogy ebben az állapotban zárolva marad, az alkalmazás ellenáll az operációs rendszer általi elhúzásnak vagy leállításnak, ezáltal megőrizve a megmaradást. A mesterséges intelligencia használata kiküszöböli a fixen kódolt koppintási sorozatoktól való függőséget, lehetővé téve a rosszindulatú program számára, hogy zökkenőmentesen alkalmazkodjon a különböző eszközökhöz, elrendezésekhez és Android-verziókhoz, jelentősen bővítve potenciális áldozati bázisát.

Akadálymentesítési visszaélések és távirányítású infrastruktúra

A PromptSpy az Android akadálymentesítési szolgáltatásait használja ki, hogy felhasználói beavatkozás nélkül végrehajtson mesterséges intelligencia által generált utasításokat. Ezen szolgáltatásokon keresztül programozottan manipulálhatja az eszköz felületét, miközben rejtve marad.

Működési képességei a következők:

  • A zárolási képernyő PIN-kódjainak, jelszavainak és mintázatfeloldási bemeneteinek lehallgatása
  • Képernyőképek készítése és a képernyőn megjelenő tevékenységek igény szerinti rögzítése
  • Az eltávolítási kísérletek blokkolása láthatatlan felhasználói felület elemek rávetítésével
  • Távoli hozzáférés létrehozása beágyazott VNC modulon keresztül

A rosszindulatú program egy fixen kódolt Command-and-Control (C2) szerverrel kommunikál az '54.67.2.84' címen a VNC protokoll használatával. Emellett a Gemini API kulcsot is lekéri erről a szerverről, lehetővé téve a folyamatos mesterséges intelligencia által vezérelt működést. Láthatatlan fedvényeket használnak az alkalmazás eltávolítására tett felhasználói kísérletek megakadályozására, gyakorlatilag csapdába ejtve az áldozatokat, hacsak nem tesznek konkrét korrekciós lépéseket.

Fertőzéslánc és társadalmi manipulációs taktikák

A PromptSpy nem hivatalos alkalmazáspiactereken, például a Google Playen keresztül terjed. Ehelyett egy erre a célra létrehozott rosszindulatú weboldalon, az „mgardownload(pont)com”-on keresztül jut el a felhasználókhoz, amely egy dropper alkalmazást biztosít. A telepítés és futtatás után a dropper alkalmazás átirányítja az áldozatokat egy másik oldalra, az „m-mgarg(pont)com”-ra.

A művelet JPMorgan Chase-ként álcázza magát „MorganArg” néven, utalva a Morgan Argentinára. Az áldozatokat társadalmi manipulációval arra kényszerítik, hogy engedélyt adjanak ismeretlen forrásból származó alkalmazások telepítésére. Ezt követően a dropper felveszi a kapcsolatot a szerverével, hogy lekérjen egy konfigurációs fájlt, amely egy további APK fájl letöltésére mutató linket tartalmaz, amelyet spanyolul, legitim frissítésként mutatnak be. A későbbi elemzés során kiderült, hogy a konfigurációs szerver offline állapotban van, így a pontos URL-cím ismeretlen.

A PromptSpy-t a korábban nem dokumentált VNCSpy nevű Android-fenyegetés továbbfejlesztett változatának tekintik.

Attribúciós utalások és célzási minták

A nyelvi elemek és a terjesztési mechanizmusok elemzése arra utal, hogy a kampány pénzügyi indíttatású, és elsősorban az argentin felhasználókat célozza meg. A technikai jelek azonban arra utalnak, hogy a rosszindulatú programot valószínűleg kínai nyelvű környezetben fejlesztették ki, amint azt a kódbázisba ágyazott egyszerűsített kínai nyelven írt hibakeresési karakterláncok is bizonyítják.

Eltávolítási kihívások és védekezési következmények

Mivel a rosszindulatú program láthatatlan átfedéseket és akadálymentesítési visszaéléseket használ, a hagyományos eltávolítási módszerek hatástalanok. Az egyetlen megbízható elhárítási megközelítés az eszköz újraindítása csökkentett módban, ahol a harmadik féltől származó alkalmazások le vannak tiltva, lehetővé téve a PromptSpy eltávolítását.

A PromptSpy megjelenése jelentős fejlődést mutat az Android kártevők tervezésében. A generatív mesterséges intelligencia segítségével a képernyőn megjelenő elemek értelmezése és az interakciós stratégiák dinamikus meghatározása révén a fenyegetések szereplői olyan szintű alkalmazkodóképességet érnek el, amely korábban statikus automatizálási szkriptekkel nem volt elérhető. A merev, fixen kódolt interakciós útvonalakra való támaszkodás helyett a kártevő egyszerűen egy képernyőképet biztosít a mesterséges intelligencia számára, és cserébe pontos, lépésről lépésre szóló utasításokat kap.

Ez a fejlemény az autonómabb, ellenállóbb és eszközfüggetlenebb mobilfenyegetések felé való elmozdulást jelzi, ami aggasztó mérföldkő a mesterséges intelligencia és a kiberbűnözés konvergenciájában.

Felkapott

American Express - Fiókhozzáférés frissítése...

Adathalászat, Spam
A mai digitális környezetben elengedhetetlen az éberség a váratlan e-mailek kezelésekor. A kiberbűnözők gyakran megbízható márkáknak adják ki magukat, hogy becsapják a címzetteket, és bizalmas információkat lopjanak el tőlük. Az úgynevezett American Express - Fiókhozzáférés-frissítés szükséges e-mailes átverés egy ilyen adathalász kampány. Ezek az e-mailek nem kapcsolódnak semmilyen legitim...

Magándokumentum készült e-mailes átverésről

Adathalászat, Spam
A kéretlen vagy váratlan e-mailek kezelésekor elengedhetetlen az óvatosság a mai fenyegetési környezetben. A kiberbűnözők gyakran álcázzák a csalárd üzeneteket legitim kommunikációként, hogy manipulálják a címzetteket, és rávegyék őket érzékeny információk felfedésére. Az úgynevezett „Privát dokumentum készült” e-mailek nem kapcsolódnak semmilyen legitim vállalathoz, szervezethez vagy...

Legnézettebb

Betöltés...