PromptSpy Android ļaunprogrammatūra
Kiberdrošības pētnieki ir identificējuši, domājams, pirmo Android ļaunprogrammatūru, kas ieroci izmanto Google ģeneratīvajā mākslīgā intelekta tērzēšanas robotā Gemini kā daļu no tā operatīvās darbplūsmas. Jaunatklātais apdraudējums, kas nosaukts par PromptSpy, integrē mākslīgā intelekta vadītu lēmumu pieņemšanu savā izpildes ķēdē un noturības stratēģijā.
PromptSpy ir izstrādāts ar plašām uzraudzības un kontroles iespējām. Tā funkcionalitāte ietver bloķēšanas ekrāna akreditācijas datu iegūšanu, atinstalēšanas mēģinājumu bloķēšanu, detalizētas ierīces informācijas apkopošanu, ekrānuzņēmumu uzņemšanu un ekrāna darbību ierakstīšanu video formātā. Ļaunprogrammatūras galvenais mērķis ir izvietot iegultu virtuālā tīkla skaitļošanas (VNC) moduli, piešķirot uzbrucējiem attālinātu piekļuvi apdraudētām ierīcēm.
Satura rādītājs
Mākslīgais intelekts kā automatizācijas dzinējspēks: kā Gemini nodrošina neatlaidību
Atšķirībā no tradicionālās Android ļaunprogrammatūras, kas balstās uz iepriekš definētiem lietotāja saskarnes (UI) navigācijas ceļiem, PromptSpy izmanto ģeneratīvu mākslīgo intelektu (AI), lai dinamiski interpretētu un mijiedarbotos ar ierīču ekrāniem. Ieguldot cietkodētu AI modeli un uzvedni, ļaunprogrammatūra piešķir AI aģentam “Android automatizācijas asistenta” lomu.
Infekcijas process ietver dabiskas valodas uzvednes nosūtīšanu uz Gemini kopā ar pašreizējā ekrāna XML izgāztuvi. Šis XML fails satur detalizētus datus par katru lietotāja interfeisa komponentu, tostarp teksta etiķetes, elementu tipus un precīzas ekrāna koordinātas. Gemini apstrādā ievadi un atgriež strukturētas JSON instrukcijas, kas norāda ļaunprogrammatūrai, kādas darbības veikt, piemēram, pieskarties konkrētiem lietotāja interfeisa elementiem, un kur tās izpildīt.
Šī daudzpakāpju mākslīgā intelekta vadītā mijiedarbība turpinās, līdz ļaunprātīgā lietojumprogramma tiek veiksmīgi piesprausta nesen izmantoto lietotņu sarakstā. Paliekot bloķētai šajā stāvoklī, operētājsistēma to nevar aizvilkt vai apturēt, tādējādi nodrošinot noturību. Mākslīgā intelekta izmantošana novērš atkarību no cietkodētām pieskārienu secībām, ļaujot ļaunprogrammatūrai nemanāmi pielāgoties dažādām ierīcēm, izkārtojumiem un Android versijām, ievērojami paplašinot tās potenciālo upuru bāzi.
Pieejamības ļaunprātīga izmantošana un attālinātās vadības infrastruktūra
PromptSpy izmanto Android pieejamības pakalpojumus, lai izpildītu mākslīgā intelekta ģenerētas instrukcijas bez lietotāja mijiedarbības. Izmantojot šos pakalpojumus, tas var programmatiski manipulēt ar ierīces saskarni, vienlaikus paliekot slēpts.
Tās darbības iespējas ietver:
- Bloķēšanas ekrāna PIN kodu, paroļu un atbloķēšanas shēmu ievades pārtveršana
- Ekrānuzņēmumu uzņemšana un ekrāna aktivitāšu ierakstīšana pēc pieprasījuma
- Bloķēt noņemšanas mēģinājumus, pārklājot neredzamus lietotāja interfeisa elementus
- Attālās piekļuves izveide, izmantojot iegulto VNC moduli
Ļaunprogrammatūra sazinās ar cietkodētu Command-and-Control (C2) serveri adresē '54.67.2.84', izmantojot VNC protokolu. Tā arī izgūst Gemini API atslēgu no šī servera, nodrošinot nepārtrauktas mākslīgā intelekta vadītas darbības. Neredzami pārklājumi tiek izmantoti, lai kavētu lietotāju mēģinājumus atinstalēt lietotni, efektīvi iesprostojot upurus, ja vien netiek veikti konkrēti korektīvi pasākumi.
Infekcijas ķēde un sociālās inženierijas taktika
PromptSpy netiek izplatīts oficiālajās lietotņu tirdzniecības vietās, piemēram, Google Play. Tā vietā tas tiek piegādāts, izmantojot īpašu ļaunprātīgu vietni “mgardownload(dot)com”, kas nodrošina pipetes lietojumprogrammu. Pēc instalēšanas un palaišanas pipete novirza upurus uz citu vietni “m-mgarg(dot)com”.
Operācija maskējas kā JPMorgan Chase ar nosaukumu “MorganArg”, atsaucoties uz Morgan Argentina. Cietušie tiek sociāli manipulēti, lai piešķirtu atļauju instalēt lietojumprogrammas no nezināmiem avotiem. Pēc tam lietojumprogrammu instalētājs sazinās ar savu serveri, lai iegūtu konfigurācijas failu, kurā ir saite papildu APK faila lejupielādei, kas spāņu valodā tiek parādīts kā likumīgs atjauninājums. Turpmākās analīzes laikā tika konstatēts, ka konfigurācijas serveris ir bezsaistē, atstājot precīzu vērtuma URL nenoteiktu.
PromptSpy tiek uzskatīts par iepriekš nedokumentēta Android apdraudējuma, kas pazīstams kā VNCSpy, uzlabotu evolūciju.
Atribūcijas norādes un mērķauditorijas atlases modeļi
Valodas artefaktu un izplatīšanas mehānismu analīze liecina, ka kampaņa ir finansiāli motivēta un galvenokārt vērsta uz lietotājiem Argentīnā. Tomēr tehniskie rādītāji liecina, ka ļaunprogrammatūra, visticamāk, tika izstrādāta ķīniešu valodā runājošā vidē, ko apliecina atkļūdošanas virknes, kas rakstītas vienkāršotā ķīniešu valodā un iegultas koda bāzē.
Izraidīšanas izaicinājumi un aizsardzības sekas
Tā kā ļaunprogrammatūra izmanto neredzamus pārklājumus un piekļuves ļaunprātīgu izmantošanu, tradicionālās atinstalēšanas metodes ir neefektīvas. Vienīgā uzticamā koriģējošā pieeja ir ierīces pārstartēšana drošajā režīmā, kurā trešo pušu lietojumprogrammas ir atspējotas, ļaujot noņemt PromptSpy.
PromptSpy parādīšanās uzsver ievērojamu Android ļaunprogrammatūras dizaina evolūciju. Izmantojot ģeneratīvo mākslīgo intelektu (AI), lai dinamiski interpretētu ekrāna elementus un noteiktu mijiedarbības stratēģijas, apdraudējumu dalībnieki iegūst pielāgošanās spēju, kas iepriekš nebija sasniedzama ar statiskiem automatizācijas skriptiem. Tā vietā, lai paļautos uz stingriem, iekodētiem mijiedarbības ceļiem, ļaunprogrammatūra vienkārši sniedz AI ekrāna momentuzņēmumu un pretī saņem precīzas, soli pa solim sniegtas instrukcijas.
Šī attīstība liecina par pāreju uz autonomākiem, noturīgākiem un no ierīcēm neatkarīgākiem mobilajiem apdraudējumiem, iezīmējot satraucošu pagrieziena punktu mākslīgā intelekta un kibernoziedzības konverģencē.
