„PromptSpy“ kenkėjiška programa „Android“
Kibernetinio saugumo tyrėjai nustatė, kad tai, kaip manoma, pirmoji „Android“ kenkėjiška programa, pavertusi „Gemini“ – „Google“ generatyvinį dirbtinio intelekto pokalbių robotą – ginklu, kaip jo operacinio darbo proceso dalį. Naujai aptikta grėsmė, pavadinta „PromptSpy“, integruoja dirbtiniu intelektu pagrįstą sprendimų priėmimą į savo vykdymo grandinę ir atkaklumo strategiją.
„PromptSpy“ sukurta su plačiomis stebėjimo ir kontrolės galimybėmis. Jos funkcijos apima užrakinimo ekrano kredencialų rinkimą, pašalinimo bandymų blokavimą, išsamios įrenginio informacijos rinkimą, ekrano kopijų darymą ir ekrane vykstančių veiksmų įrašymą kaip vaizdo įrašą. Pagrindinis kenkėjiškos programos tikslas – diegti integruotą virtualaus tinklo skaičiavimo (VNC) modulį, suteikiantį užpuolikams nuotolinę prieigą prie pažeistų įrenginių.
Turinys
Dirbtinis intelektas kaip automatizavimo variklis: kaip „Gemini“ įgalina atkaklumą
Skirtingai nuo tradicinės „Android“ kenkėjiškos programos, kuri remiasi iš anksto apibrėžtais vartotojo sąsajos (UI) naršymo keliais, „PromptSpy“ naudoja generatyvinį dirbtinį intelektą (DI), kad dinamiškai interpretuotų ir sąveikautų su įrenginių ekranais. Įterpusi užkoduotą DI modelį ir raginimą, kenkėjiška programa priskiria DI agentui „Android“ automatizavimo asistento“ vaidmenį.
Užkrėtimo procesas apima natūralios kalbos raginimo perdavimą į „Gemini“ kartu su dabartinio ekrano XML išklotine. Šiame XML faile yra detalūs duomenys apie kiekvieną vartotojo sąsajos komponentą, įskaitant teksto etiketes, elementų tipus ir tikslias ekrano koordinates. „Gemini“ apdoroja įvestį ir grąžina struktūrizuotas JSON instrukcijas, nurodančias kenkėjiškai programai, kokius veiksmus atlikti, pvz., bakstelėti konkrečius vartotojo sąsajos elementus, ir kur juos vykdyti.
Ši daugiapakopė dirbtinio intelekto valdoma sąveika tęsiasi tol, kol kenkėjiška programa sėkmingai prisegtina prie naujausių programų sąrašo. Likdama užrakinta šioje būsenoje, operacinė sistema negali jos pašalinti ar uždaryti, todėl ji išlieka aktyvi. Dirbtinio intelekto naudojimas panaikina priklausomybę nuo užprogramuotų bakstelėjimų sekų, todėl kenkėjiška programa gali sklandžiai prisitaikyti prie skirtingų įrenginių, išdėstymų ir „Android“ versijų, taip žymiai padidindama potencialių aukų bazę.
Prieinamumo piktnaudžiavimas ir nuotolinio valdymo infrastruktūra
„PromptSpy“ naudoja „Android“ pritaikymo neįgaliesiems paslaugas, kad vykdytų dirbtinio intelekto sugeneruotas instrukcijas be vartotojo įsikišimo. Naudodamasi šiomis paslaugomis, ji gali programiškai manipuliuoti įrenginio sąsaja, likdama paslėpta.
Jos operacinės galimybės apima:
- Užrakinimo ekrano PIN kodų, slaptažodžių ir atrakinimo šablono įvesčių perėmimas
- Ekrano kopijų darymas ir ekrano aktyvumo įrašymas pagal poreikį
- Blokuoti pašalinimo bandymus uždengiant nematomus vartotojo sąsajos elementus
- Nuotolinės prieigos nustatymas naudojant integruotą VNC modulį
Kenkėjiška programa bendrauja su užkoduotu „Command-and-Control“ (C2) serveriu adresu „54.67.2.84“, naudodama VNC protokolą. Ji taip pat nuskaito „Gemini“ API raktą iš šio serverio, kad būtų galima tęsti dirbtinio intelekto valdomas operacijas. Nematomi sluoksniai naudojami siekiant trukdyti naudotojų bandymams pašalinti programėlę, efektyviai įkalinant aukas, nebent būtų imtasi konkrečių taisomųjų veiksmų.
Infekcijos grandinė ir socialinės inžinerijos taktika
„PromptSpy“ nėra platinama per oficialias programėlių prekyvietes, tokias kaip „Google Play“. Vietoj to, ji pristatoma per specialią kenkėjišką svetainę „mgardownload(dot)com“, kurioje pateikiama lašelinė programa. Įdiegus ir paleidus, lašelinė programa nukreipia aukas į kitą svetainę „m-mgarg(dot)com“.
Operacija prisistato kaip „JPMorgan Chase“ pavadinimu „MorganArg“, nurodant „Morgan Argentina“. Aukos yra socialiai manipuliuojamos, kad suteiktų leidimą diegti programas iš nežinomų šaltinių. Vėliau programa susisiekia su savo serveriu, kad gautų konfigūracijos failą su nuoroda atsisiųsti papildomą APK failą, pateiktą ispanų kalba kaip teisėtas atnaujinimas. Vėlesnės analizės metu nustatyta, kad konfigūracijos serveris neprisijungęs, todėl tikslus naudingosios apkrovos URL nenustatytas.
„PromptSpy“ laikoma patobulinta anksčiau nedokumentuotos „Android“ grėsmės, žinomos kaip „VNCSpy“, evoliucija.
Priskyrimo užuominos ir taikymo modeliai
Kalbos artefaktų ir platinimo mechanizmų analizė rodo, kad kampanija yra finansiškai motyvuota ir daugiausia nukreipta į vartotojus Argentinoje. Tačiau techniniai rodikliai rodo, kad kenkėjiška programa greičiausiai buvo sukurta kinų kalba kalbančioje aplinkoje, ką įrodo derinimo eilutės, parašytos supaprastinta kinų kalba, įterptos į kodo bazę.
Pašalinimo iššūkiai ir gynybinės pasekmės
Dėl kenkėjiškos programos naudojamų nematomų perdangų ir piktnaudžiavimo prieinamumu, įprasti pašalinimo metodai yra neveiksmingi. Vienintelis patikimas taisomasis būdas – paleisti įrenginį iš naujo saugiuoju režimu, kuriame išjungiamos trečiųjų šalių programos, leidžiant pašalinti „PromptSpy“.
„PromptSpy“ atsiradimas pabrėžia reikšmingą „Android“ kenkėjiškų programų kūrimo evoliuciją. Pasitelkdama generatyvinį dirbtinį intelektą (DI) ekrano elementams interpretuoti ir sąveikos strategijoms dinamiškai nustatyti, grėsmių veikėjai pasiekia prisitaikymo lygį, kuris anksčiau buvo nepasiekiamas naudojant statinius automatizavimo scenarijus. Užuot pasikliovusi griežtais, užkoduotais sąveikos keliais, kenkėjiška programa tiesiog pateikia DI ekrano kopiją ir mainais gauna tikslias, nuoseklias instrukcijas.
Šis pokytis rodo poslinkį link autonomiškesnių, atsparesnių ir nuo įrenginių nepriklausomų mobiliųjų grėsmių, o tai žymi nerimą keliantį dirbtinio intelekto ir kibernetinių nusikaltimų konvergencijos etapą.
