PromptSpy Android Malware

साइबर सुरक्षा अनुसन्धानकर्ताहरूले गुगलको जेनेरेटिभ आर्टिफिसियल इन्टेलिजेन्स च्याटबोट जेमिनीलाई यसको सञ्चालन कार्यप्रवाहको एक भागको रूपमा हतियार बनाउने पहिलो एन्ड्रोइड मालवेयर भएको विश्वास गरिएको कुरा पहिचान गरेका छन्। भर्खरै पत्ता लागेको खतरा, जसलाई प्रम्प्टस्पाई भनिन्छ, ले एआई-संचालित निर्णय लिने प्रक्रियालाई यसको कार्यान्वयन श्रृंखला र दृढता रणनीतिमा एकीकृत गर्दछ।

PromptSpy व्यापक निगरानी र नियन्त्रण क्षमताहरूसँग ईन्जिनियर गरिएको छ। यसको कार्यक्षमतामा लकस्क्रिन प्रमाणहरू सङ्कलन गर्ने, अनइन्स्टल गर्ने प्रयासहरूलाई रोक्ने, विस्तृत उपकरण जानकारी सङ्कलन गर्ने, स्क्रिनसटहरू खिच्ने, र भिडियोको रूपमा अन-स्क्रिन गतिविधि रेकर्ड गर्ने समावेश छ। मालवेयरको प्राथमिक उद्देश्य एम्बेडेड भर्चुअल नेटवर्क कम्प्युटिङ (VNC) मोड्युल तैनाथ गर्नु हो, जसले आक्रमणकारीहरूलाई सम्झौता गरिएका उपकरणहरूमा टाढाको पहुँच प्रदान गर्दछ।

स्वचालन इन्जिनको रूपमा एआई: मिथुनले कसरी दृढतालाई सक्षम बनाउँछ

पूर्वनिर्धारित प्रयोगकर्ता इन्टरफेस (UI) नेभिगेसन मार्गहरूमा निर्भर गर्ने परम्परागत एन्ड्रोइड मालवेयरको विपरीत, PromptSpy ले उपकरण स्क्रिनहरूसँग गतिशील रूपमा व्याख्या गर्न र अन्तर्क्रिया गर्न जेनेरेटिभ AI को लाभ उठाउँछ। हार्ड-कोडेड AI मोडेल र प्रम्प्टलाई इम्बेड गरेर, मालवेयरले AI एजेन्टलाई 'एन्ड्रोइड स्वचालन सहायक' को भूमिका तोक्छ।

संक्रमण प्रक्रियामा हालको स्क्रिनको XML डम्पसँगै जेमिनीमा प्राकृतिक भाषा प्रम्प्ट प्रसारण गर्नु समावेश छ। यो XML फाइलमा प्रत्येक UI कम्पोनेन्टमा ग्र्यानुलर डेटा हुन्छ, जसमा टेक्स्ट लेबलहरू, एलिमेन्ट प्रकारहरू, र सटीक अन-स्क्रिन निर्देशांकहरू समावेश छन्। जेमिनीले इनपुट प्रशोधन गर्छ र मालवेयरलाई कुन कार्यहरू गर्ने, जस्तै विशिष्ट UI तत्वहरू ट्याप गर्ने, र तिनीहरूलाई कहाँ कार्यान्वयन गर्ने भन्ने बारे निर्देशित गर्ने संरचित JSON निर्देशनहरू फर्काउँछ।

यो बहु-चरणीय एआई-निर्देशित अन्तरक्रिया हालैका एप्स सूचीमा मालिसियस एप्लिकेसन सफलतापूर्वक पिन नभएसम्म जारी रहन्छ। यस अवस्थामा लक रहँदा, एप अपरेटिङ सिस्टमद्वारा स्वाइप वा समाप्त हुने प्रतिरोध गर्दछ, जसले गर्दा दृढता प्राप्त हुन्छ। एआईको प्रयोगले हार्डकोडेड ट्याप सिक्वेन्सहरूमा निर्भरता हटाउँछ, जसले गर्दा मालवेयरलाई विभिन्न उपकरणहरू, लेआउटहरू र एन्ड्रोइड संस्करणहरूमा निर्बाध रूपमा अनुकूलन गर्न अनुमति दिन्छ, जसले गर्दा यसको सम्भावित पीडित आधार उल्लेखनीय रूपमा विस्तार हुन्छ।

पहुँचयोग्यता दुरुपयोग र रिमोट कन्ट्रोल पूर्वाधार

प्रम्प्टस्पाईले प्रयोगकर्ता अन्तरक्रिया बिना एआई-उत्पन्न निर्देशनहरू कार्यान्वयन गर्न एन्ड्रोइडको पहुँच सेवाहरूको शोषण गर्दछ। यी सेवाहरू मार्फत, यसले लुकाएर उपकरण इन्टरफेसलाई प्रोग्रामेटिक रूपमा हेरफेर गर्न सक्छ।

यसको सञ्चालन क्षमताहरूमा समावेश छन्:

• लकस्क्रिन पिन, पासवर्ड र प्याटर्न अनलक इनपुटहरू अवरोध गर्दै
• माग अनुसार स्क्रिनसटहरू खिच्ने र स्क्रिन गतिविधि रेकर्ड गर्ने
• अदृश्य UI तत्वहरूलाई ओभरले गरेर हटाउने प्रयासहरूलाई रोक्दै
• एम्बेडेड VNC मोड्युल मार्फत टाढाको पहुँच स्थापना गर्दै

मालवेयरले VNC प्रोटोकल प्रयोग गरेर '54.67.2.84' मा रहेको हार्ड-कोडेड कमाण्ड-एन्ड-कन्ट्रोल (C2) सर्भरसँग सञ्चार गर्छ। यसले यस सर्भरबाट जेमिनी एपीआई कुञ्जी पनि प्राप्त गर्छ, जसले गर्दा एआई-संचालित सञ्चालनहरू निरन्तर रूपमा सक्षम हुन्छन्। अदृश्य ओभरलेहरू एप अनइन्स्टल गर्ने प्रयोगकर्ताको प्रयासलाई अवरोध गर्न प्रयोग गरिन्छ, जसले गर्दा विशेष उपचारात्मक कदमहरू नचालिएसम्म पीडितहरूलाई प्रभावकारी रूपमा फसाउन सकिन्छ।

संक्रमण शृङ्खला र सामाजिक इन्जिनियरिङ रणनीतिहरू

PromptSpy गुगल प्ले जस्ता आधिकारिक एप बजारहरू मार्फत वितरण गरिएको छैन। यसको सट्टा, यो एक समर्पित दुर्भावनापूर्ण वेबसाइट, 'mgardownload(dot)com' मार्फत डेलिभर गरिन्छ, जसले ड्रपर एप्लिकेसन प्रदान गर्दछ। एक पटक स्थापना र कार्यान्वयन भएपछि, ड्रपरले पीडितहरूलाई अर्को साइट, 'm-mgarg(dot)com' मा रिडिरेक्ट गर्दछ।

यो अपरेशनले 'MorganArg' नामले JPMorgan Chase को रूपमा भेष बदल्छ, जसले Morgan अर्जेन्टिनालाई जनाउँछ। पीडितहरूलाई अज्ञात स्रोतहरूबाट अनुप्रयोगहरू स्थापना गर्न अनुमति प्रदान गर्न सामाजिक रूपमा ईन्जिनियर गरिएको छ। त्यसपछि, ड्रपरले वैध अपडेटको रूपमा स्पेनिश भाषामा प्रस्तुत गरिएको अतिरिक्त APK फाइल डाउनलोड गर्न लिङ्क भएको कन्फिगरेसन फाइल पुन: प्राप्त गर्न आफ्नो सर्भरमा सम्पर्क गर्छ। पछिको विश्लेषणको क्रममा, कन्फिगरेसन सर्भर अफलाइन भएको पाइयो, जसले गर्दा सही पेलोड URL अनिश्चित रह्यो।

PromptSpy लाई VNCSpy भनेर चिनिने पहिलेको कागजात नभएको एन्ड्रोइड खतराको उन्नत विकास मानिन्छ।

विशेषता सुराग र लक्षित ढाँचाहरू

भाषा कलाकृतिहरू र वितरण संयन्त्रहरूको विश्लेषणले यो अभियान आर्थिक रूपमा प्रेरित छ र मुख्यतया अर्जेन्टिनाका प्रयोगकर्ताहरूलाई लक्षित गर्दछ भन्ने सुझाव दिन्छ। यद्यपि, प्राविधिक सूचकहरूले प्रकट गर्छन् कि मालवेयर सम्भवतः चिनियाँ भाषा बोल्ने वातावरणमा विकसित गरिएको थियो, जुन कोडबेसमा एम्बेड गरिएको सरलीकृत चिनियाँ भाषामा लेखिएको डिबग स्ट्रिङहरूले प्रमाणित गर्दछ।

हटाउने चुनौतीहरू र रक्षात्मक प्रभावहरू

मालवेयरले अदृश्य ओभरलेहरूको प्रयोग र पहुँच दुरुपयोगको कारणले गर्दा, परम्परागत स्थापना रद्द गर्ने विधिहरू अप्रभावी छन्। एक मात्र भरपर्दो उपचार दृष्टिकोणमा उपकरणलाई सुरक्षित मोडमा रिबुट गर्नु समावेश छ, जहाँ तेस्रो-पक्ष अनुप्रयोगहरू असक्षम पारिएका हुन्छन्, जसले PromptSpy हटाउन अनुमति दिन्छ।

PromptSpy को उदयले एन्ड्रोइड मालवेयर डिजाइनमा महत्वपूर्ण विकासलाई जोड दिन्छ। अन-स्क्रिन तत्वहरूको व्याख्या गर्न र गतिशील रूपमा अन्तरक्रिया रणनीतिहरू निर्धारण गर्न जेनेरेटिभ एआईको प्रयोग गरेर, खतरा अभिनेताहरूले स्थिर स्वचालन स्क्रिप्टहरूसँग पहिले अप्राप्य अनुकूलन क्षमताको स्तर प्राप्त गर्छन्। कठोर, हार्डकोड गरिएको अन्तरक्रिया मार्गहरूमा भर पर्नुको सट्टा, मालवेयरले एआईलाई स्क्रिन स्न्यापसट प्रदान गर्दछ र बदलामा सटीक, चरण-दर-चरण निर्देशनहरू प्राप्त गर्दछ।

यो विकासले कृत्रिम बुद्धिमत्ता र साइबर अपराधको अभिसरणमा चिन्ताजनक कोसेढुङ्गा चिन्ह लगाउँदै, थप स्वायत्त, लचिलो, र उपकरण-अज्ञेयवादी मोबाइल खतराहरू तर्फ परिवर्तनको संकेत गर्दछ।