Oferta rabatowa na wiele licencji
Baza danych zagrożeń Mobilne złośliwe oprogramowanie PromptSpy Android Malware

PromptSpy Android Malware

Do Mezo w Mobilne złośliwe oprogramowanie
Przetłumacz na:

Badacze cyberbezpieczeństwa zidentyfikowali prawdopodobnie pierwsze złośliwe oprogramowanie na Androida, które wykorzystuje Gemini, generatywny chatbot Google'a oparty na sztucznej inteligencji, jako element jego operacyjnego procesu roboczego. Nowo odkryte zagrożenie, nazwane PromptSpy, integruje oparty na sztucznej inteligencji proces decyzyjny z łańcuchem wykonawczym i strategią trwałości.

PromptSpy został zaprojektowany z myślą o rozbudowanych możliwościach nadzoru i kontroli. Jego funkcjonalność obejmuje zbieranie danych uwierzytelniających z ekranu blokady, blokowanie prób odinstalowania oprogramowania, zbieranie szczegółowych informacji o urządzeniu, wykonywanie zrzutów ekranu i nagrywanie aktywności na ekranie w formie wideo. Głównym celem złośliwego oprogramowania jest wdrożenie wbudowanego modułu Virtual Network Computing (VNC), zapewniającego atakującym zdalny dostęp do zainfekowanych urządzeń.

Sztuczna inteligencja jako silnik automatyzacji: jak Gemini umożliwia trwałość

W przeciwieństwie do tradycyjnego złośliwego oprogramowania na Androida, które opiera się na predefiniowanych ścieżkach nawigacji w interfejsie użytkownika (UI), PromptSpy wykorzystuje generatywną sztuczną inteligencję do dynamicznej interpretacji i interakcji z ekranami urządzeń. Poprzez osadzenie zakodowanego na stałe modelu sztucznej inteligencji i komunikatu, złośliwe oprogramowanie przypisuje agentowi AI rolę „asystenta automatyzacji Androida”.

Proces infekcji polega na przesłaniu do Gemini komunikatu w języku naturalnym wraz ze zrzutem XML bieżącego ekranu. Ten plik XML zawiera szczegółowe dane dotyczące każdego komponentu interfejsu użytkownika, w tym etykiety tekstowe, typy elementów i dokładne współrzędne na ekranie. Gemini przetwarza dane wejściowe i zwraca ustrukturyzowane instrukcje JSON, które wskazują złośliwemu oprogramowaniu, jakie działania ma wykonać, takie jak klikanie określonych elementów interfejsu użytkownika, i gdzie je uruchomić.

Ta wieloetapowa interakcja sterowana przez sztuczną inteligencję trwa do momentu, aż złośliwa aplikacja zostanie pomyślnie przypięta na liście ostatnio używanych aplikacji. Pozostając zablokowana w tym stanie, aplikacja nie daje się usunąć ani zamknąć przez system operacyjny, co zapewnia jej trwałość. Zastosowanie sztucznej inteligencji eliminuje konieczność stosowania zakodowanych na stałe sekwencji stuknięć, umożliwiając złośliwemu oprogramowaniu płynne dostosowywanie się do różnych urządzeń, układów i wersji Androida, co znacznie zwiększa potencjalną bazę ofiar.

Nadużycia w zakresie dostępności i infrastruktura zdalnego sterowania

PromptSpy wykorzystuje usługi ułatwień dostępu Androida do wykonywania instrukcji generowanych przez sztuczną inteligencję bez interakcji z użytkownikiem. Dzięki tym usługom PromptSpy może programowo manipulować interfejsem urządzenia, pozostając jednocześnie w ukryciu.

Jego możliwości operacyjne obejmują:

  • Przechwytywanie kodów PIN, haseł i wzorów odblokowywania ekranu blokady
  • Przechwytywanie zrzutów ekranu i nagrywanie aktywności na ekranie na żądanie
  • Blokowanie prób usunięcia poprzez nakładanie niewidocznych elementów interfejsu użytkownika
  • Nawiązywanie dostępu zdalnego za pomocą wbudowanego modułu VNC

Szkodliwe oprogramowanie komunikuje się z zakodowanym na stałe serwerem Command-and-Control (C2) pod adresem „54.67.2.84” za pomocą protokołu VNC. Pobiera również klucz API Gemini z tego serwera, umożliwiając dalsze działanie oparte na sztucznej inteligencji. Niewidoczne nakładki utrudniają użytkownikom odinstalowanie aplikacji, skutecznie blokując ofiary, chyba że zostaną podjęte odpowiednie kroki naprawcze.

Łańcuch infekcji i taktyki inżynierii społecznej

PromptSpy nie jest dystrybuowany za pośrednictwem oficjalnych sklepów z aplikacjami, takich jak Google Play. Zamiast tego jest dostarczany za pośrednictwem dedykowanej, złośliwej witryny „mgardownload(dot)com”, która udostępnia aplikację typu dropper. Po zainstalowaniu i uruchomieniu, dropper przekierowuje ofiary na inną witrynę „m-mgarg(dot)com”.

Operacja podszywa się pod JPMorgan Chase pod nazwą „MorganArg”, nawiązującą do Morgan Argentina. Ofiary są manipulowane za pomocą socjotechniki, aby udzielały zgody na instalowanie aplikacji z nieznanych źródeł. Następnie dropper kontaktuje się ze swoim serwerem, aby pobrać plik konfiguracyjny zawierający link do pobrania dodatkowego pliku APK, prezentowanego w języku hiszpańskim jako legalna aktualizacja. Podczas dalszej analizy stwierdzono, że serwer konfiguracyjny jest offline, co oznacza, że dokładny adres URL ładunku pozostaje nieokreślony.

PromptSpy jest uważany za zaawansowaną ewolucję nieudokumentowanego wcześniej zagrożenia dla systemu Android, znanego jako VNCSpy.

Wskazówki atrybucji i wzorce kierowania

Analiza artefaktów językowych i mechanizmów dystrybucji sugeruje, że kampania ma charakter finansowy i jest skierowana głównie do użytkowników w Argentynie. Jednak wskaźniki techniczne wskazują, że złośliwe oprogramowanie zostało prawdopodobnie opracowane w środowisku chińskojęzycznym, o czym świadczą ciągi debugowania napisane w uproszczonym języku chińskim, osadzone w bazie kodu.

Wyzwania związane z usuwaniem i implikacje obronne

Ze względu na wykorzystywanie przez złośliwe oprogramowanie niewidocznych nakładek i nadużywanie funkcji ułatwień dostępu, konwencjonalne metody dezinstalacji są nieskuteczne. Jedynym skutecznym sposobem naprawy jest ponowne uruchomienie urządzenia w trybie awaryjnym, w którym aplikacje innych firm są wyłączone, co umożliwia usunięcie PromptSpy.

Pojawienie się PromptSpy podkreśla znaczącą ewolucję w projektowaniu złośliwego oprogramowania na Androida. Wykorzystując generatywną sztuczną inteligencję do interpretowania elementów na ekranie i dynamicznego określania strategii interakcji, cyberprzestępcy zyskują poziom adaptacji, który wcześniej był nieosiągalny w przypadku statycznych skryptów automatyzacji. Zamiast polegać na sztywnych, zakodowanych na stałe ścieżkach interakcji, złośliwe oprogramowanie po prostu dostarcza sztucznej inteligencji zrzut ekranu i otrzymuje w zamian precyzyjne instrukcje krok po kroku.

Rozwój ten sygnalizuje przesunięcie w stronę bardziej autonomicznych, odpornych i niezależnych od urządzenia zagrożeń mobilnych, co stanowi niepokojący kamień milowy w łączeniu sztucznej inteligencji i cyberprzestępczości.

Popularne

American Express - Oszustwo e-mailowe z prośbą o...

Phishing, Spam
W dzisiejszym środowisku cyfrowym zachowanie czujności w przypadku nieoczekiwanych wiadomości e-mail jest niezbędne. Cyberprzestępcy często podszywają się pod zaufane marki, aby nakłonić odbiorców do ujawnienia poufnych informacji. Tak zwany „American Express – Account Access Update Needed Email Scam” to jedna z takich kampanii phishingowych. Te wiadomości e-mail nie są powiązane z żadnymi...

Oszustwo e-mailowe z informacją o przygotowaniu...

Phishing, Spam
Zachowanie ostrożności w przypadku niechcianych lub nieoczekiwanych wiadomości e-mail jest kluczowe w dzisiejszym krajobrazie zagrożeń. Cyberprzestępcy często maskują fałszywe wiadomości pod legalną komunikacją, aby zmanipulować odbiorców i wymusić ujawnienie poufnych informacji. Tak zwane wiadomości e-mail z informacją „Private Document Has Been Prepared” nie są powiązane z żadnymi legalnymi...

Najczęściej oglądane

Ładowanie...