Perisian Hasad PromptSpy Android
Penyelidik keselamatan siber telah mengenal pasti apa yang dipercayai sebagai perisian hasad Android pertama yang menjadikan Gemini, bot sembang kecerdasan buatan generatif Google, sebagai senjata api. Ancaman yang baru ditemui itu, yang digelar PromptSpy, mengintegrasikan pembuatan keputusan berasaskan AI ke dalam rantaian pelaksanaan dan strategi kegigihannya.
PromptSpy direkayasa dengan keupayaan pengawasan dan kawalan yang meluas. Fungsinya termasuk mendapatkan kelayakan skrin kunci, menyekat percubaan penyahpasangan, mengumpul maklumat peranti terperinci, menangkap tangkapan skrin dan merakam aktiviti pada skrin sebagai video. Objektif utama perisian hasad ini adalah untuk menggunakan modul Pengkomputeran Rangkaian Maya (VNC) terbenam, yang memberikan penyerang akses jauh ke peranti yang diceroboh.
Isi kandungan
AI sebagai Enjin Automasi: Bagaimana Gemini Membolehkan Kegigihan
Tidak seperti perisian hasad Android tradisional yang bergantung pada laluan navigasi antara muka pengguna (UI) yang telah ditetapkan, PromptSpy memanfaatkan AI generatif untuk mentafsir dan berinteraksi secara dinamik dengan skrin peranti. Dengan menyematkan model dan gesaan AI yang dikodkan secara keras, perisian hasad tersebut memberikan ejen AI peranan sebagai 'pembantu automasi Android'.
Proses jangkitan melibatkan penghantaran gesaan bahasa semula jadi kepada Gemini bersama-sama dengan lambakan XML skrin semasa. Fail XML ini mengandungi data terperinci pada setiap komponen UI, termasuk label teks, jenis elemen dan koordinat tepat pada skrin. Gemini memproses input dan mengembalikan arahan JSON berstruktur yang mengarahkan perisian hasad tentang tindakan yang perlu dilakukan, seperti mengetik elemen UI tertentu dan tempat untuk melaksanakannya.
Interaksi berpandukan AI berbilang langkah ini berterusan sehingga aplikasi berniat jahat berjaya disematkan dalam senarai aplikasi terkini. Dengan kekal terkunci dalam keadaan ini, aplikasi tersebut akan menahan diri daripada dileret atau ditamatkan oleh sistem pengendalian, sekali gus mencapai kegigihan. Penggunaan AI menghapuskan pergantungan pada urutan ketikan berkod keras, membolehkan perisian hasad menyesuaikan diri dengan lancar pada peranti, susun atur dan versi Android yang berbeza, sekali gus mengembangkan pangkalan mangsa yang berpotensi dengan ketara.
Penyalahgunaan Kebolehcapaian dan Infrastruktur Kawalan Jauh
PromptSpy mengeksploitasi perkhidmatan kebolehcapaian Android untuk melaksanakan arahan yang dijana AI tanpa interaksi pengguna. Melalui perkhidmatan ini, ia boleh memanipulasi antara muka peranti secara pengaturcaraan sambil kekal tersembunyi.
Keupayaan operasinya termasuk:
- Memintas PIN skrin kunci, kata laluan dan input buka kunci corak
- Menangkap tangkapan skrin dan merakam aktiviti skrin atas permintaan
- Menyekat percubaan penyingkiran dengan melapisi elemen UI yang tidak kelihatan
- Mewujudkan akses jauh melalui modul VNC terbenam
Perisian hasad ini berkomunikasi dengan pelayan Perintah-dan-Kawalan (C2) berkod keras di '54.67.2.84' menggunakan protokol VNC. Ia juga mengambil kunci API Gemini daripada pelayan ini, membolehkan operasi dipacu AI yang berterusan. Lapisan halimunan digunakan untuk menghalang percubaan pengguna untuk menyahpasang aplikasi, memerangkap mangsa dengan berkesan melainkan langkah pemulihan tertentu diambil.
Rantaian Jangkitan dan Taktik Kejuruteraan Sosial
PromptSpy tidak diedarkan melalui pasaran aplikasi rasmi seperti Google Play. Sebaliknya, ia dihantar melalui laman web berniat jahat khusus, 'mgardownload(dot)com,' yang menyediakan aplikasi dropper. Setelah dipasang dan dilaksanakan, dropper akan mengalihkan mangsa ke laman web lain, 'm-mgarg(dot)com.'
Operasi ini menyamar sebagai JPMorgan Chase di bawah nama 'MorganArg,' yang merujuk kepada Morgan Argentina. Mangsa direkayasa secara sosial untuk memberikan kebenaran bagi memasang aplikasi daripada sumber yang tidak diketahui. Selepas itu, dropper menghubungi pelayannya untuk mendapatkan fail konfigurasi yang mengandungi pautan untuk memuat turun fail APK tambahan, yang dibentangkan dalam bahasa Sepanyol sebagai kemas kini yang sah. Semasa analisis berikutnya, pelayan konfigurasi didapati berada di luar talian, menyebabkan URL muatan yang tepat tidak ditentukan.
PromptSpy dianggap sebagai evolusi lanjutan ancaman Android yang sebelum ini tidak didokumenkan yang dikenali sebagai VNCSpy.
Petunjuk Atribusi dan Corak Penyasaran
Analisis artifak bahasa dan mekanisme pengedaran menunjukkan bahawa kempen ini bermotifkan kewangan dan menyasarkan pengguna di Argentina. Walau bagaimanapun, petunjuk teknikal mendedahkan bahawa perisian hasad itu mungkin dibangunkan dalam persekitaran berbahasa Cina, seperti yang dibuktikan oleh rentetan debug yang ditulis dalam bahasa Cina ringkas yang terbenam dalam pangkalan kod.
Cabaran Penyingkiran dan Implikasi Pertahanan
Disebabkan penggunaan lapisan halimunan dan penyalahgunaan kebolehcapaian oleh perisian hasad, kaedah penyahpasangan konvensional tidak berkesan. Satu-satunya pendekatan pemulihan yang boleh dipercayai melibatkan but semula peranti ke dalam Mod Selamat, di mana aplikasi pihak ketiga dinyahdayakan, membolehkan PromptSpy dialih keluar.
Kemunculan PromptSpy menggariskan evolusi yang ketara dalam reka bentuk perisian hasad Android. Dengan memanfaatkan AI generatif untuk mentafsir elemen pada skrin dan menentukan strategi interaksi secara dinamik, pelaku ancaman memperoleh tahap kebolehsuaian yang sebelum ini tidak dapat dicapai dengan skrip automasi statik. Daripada bergantung pada laluan interaksi yang tegar dan dikodkan secara keras, perisian hasad hanya menyediakan AI dengan gambaran skrin dan menerima arahan langkah demi langkah yang tepat sebagai balasannya.
Perkembangan ini menandakan peralihan ke arah ancaman mudah alih yang lebih autonomi, berdaya tahan dan agnostik peranti, menandakan peristiwa penting yang membimbangkan dalam penumpuan kecerdasan buatan dan jenayah siber.
