Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Malware mobil Programe malware PromptSpy pentru Android

Programe malware PromptSpy pentru Android

Până în Mezo în Malware mobil
Tradu in:

Cercetătorii în domeniul securității cibernetice au identificat ceea ce se crede a fi primul malware Android care transformă Gemini, chatbot-ul cu inteligență artificială generativă al Google, într-o armă, ca parte a fluxului său de lucru operațional. Noua amenințare descoperită, numită PromptSpy, integrează procesul decizional bazat pe inteligență artificială în lanțul său de execuție și în strategia de persistență.

PromptSpy este conceput cu capacități extinse de supraveghere și control. Funcționalitatea sa include colectarea acreditărilor de pe ecranul de blocare, blocarea încercărilor de dezinstalare, colectarea de informații detaliate despre dispozitiv, realizarea de capturi de ecran și înregistrarea activității de pe ecran sub formă de videoclip. Obiectivul principal al malware-ului este de a implementa un modul încorporat de Virtual Network Computing (VNC), oferind atacatorilor acces de la distanță la dispozitivele compromise.

IA ca motor de automatizare: Cum permite Gemini persistența

Spre deosebire de malware-ul tradițional pentru Android, care se bazează pe căi de navigare predefinite în interfața utilizator (UI), PromptSpy utilizează inteligența artificială generativă pentru a interpreta dinamic și a interacționa cu ecranele dispozitivelor. Prin încorporarea unui model și a unei solicitări de inteligență artificială codificate fix, malware-ul atribuie agentului inteligență artificială rolul de „asistent de automatizare Android”.

Procesul de infectare implică transmiterea unei solicitări în limbaj natural către Gemini, împreună cu un dump XML al ecranului curent. Acest fișier XML conține date granulare despre fiecare componentă a interfeței utilizator, inclusiv etichete de text, tipuri de elemente și coordonate exacte de pe ecran. Gemini procesează datele de intrare și returnează instrucțiuni JSON structurate care direcționează malware-ul cu privire la acțiunile pe care trebuie să le efectueze, cum ar fi atingerea anumitor elemente ale interfeței utilizator și unde să le execute.

Această interacțiune ghidată de inteligența artificială, în mai mulți pași, continuă până când aplicația rău intenționată este fixată cu succes în lista de aplicații recente. Rămânând blocată în această stare, aplicația previne ștergerea sau închiderea de către sistemul de operare, atingând astfel persistența. Utilizarea inteligenței artificiale elimină dependența de secvențele de atingere codificate fix, permițând malware-ului să se adapteze perfect la diferite dispozitive, layout-uri și versiuni Android, extinzându-și semnificativ baza de victime potențiale.

Abuz de accesibilitate și infrastructură de control de la distanță

PromptSpy exploatează serviciile de accesibilitate ale Android pentru a executa instrucțiuni generate de inteligența artificială fără interacțiunea utilizatorului. Prin intermediul acestor servicii, poate manipula programatic interfața dispozitivului, rămânând în același timp ascuns.

Capacitățile sale operaționale includ:

  • Interceptarea codurilor PIN, parolelor și introducerii modelului de deblocare pe ecranul de blocare
  • Capturarea de capturi de ecran și înregistrarea activității ecranului la cerere
  • Blocarea încercărilor de eliminare prin suprapunerea elementelor invizibile ale interfeței utilizator
  • Stabilirea accesului la distanță prin intermediul unui modul VNC încorporat

Malware-ul comunică cu un server Command-and-Control (C2) codificat fix la adresa „54.67.2.84” folosind protocolul VNC. De asemenea, acesta preia cheia API Gemini de pe acest server, permițând continuarea operațiunilor bazate pe inteligență artificială. Suprapuneri invizibile sunt folosite pentru a obstrucționa încercările utilizatorilor de a dezinstala aplicația, prinzând efectiv victimele dacă nu se iau măsuri specifice de remediere.

Lanțul de infecție și tacticile de inginerie socială

PromptSpy nu este distribuit prin intermediul unor piețe oficiale de aplicații, cum ar fi Google Play. În schimb, este livrat prin intermediul unui site web malware dedicat, „mgardownload(punct)com”, care oferă o aplicație de tip dropper. Odată instalat și executat, dropper-ul redirecționează victimele către un alt site, „m-mgarg(punct)com”.

Operațiunea se deghizează în JPMorgan Chase sub numele „MorganArg”, cu referire la Morgan Argentina. Victimele sunt manipulate social pentru a acorda permisiunea de a instala aplicații din surse necunoscute. Ulterior, dropper-ul contactează serverul său pentru a recupera un fișier de configurare care conține un link pentru descărcarea unui fișier APK suplimentar, prezentat în spaniolă ca o actualizare legitimă. În timpul analizelor ulterioare, s-a constatat că serverul de configurare este offline, lăsând adresa URL exactă a sarcinii utile nedeterminată.

PromptSpy este considerat o evoluție avansată a unei amenințări Android nedocumentate anterior, cunoscută sub numele de VNCSpy.

Indicii de atribuire și modele de direcționare

Analiza artefactelor lingvistice și a mecanismelor de distribuție sugerează că această campanie este motivată financiar și vizează în principal utilizatorii din Argentina. Cu toate acestea, indicatorii tehnici arată că malware-ul a fost probabil dezvoltat într-un mediu vorbitor de chineză, după cum reiese din șirurile de depanare scrise în chineză simplificată, încorporate în baza de cod.

Provocări legate de eliminare și implicații defensive

Din cauza utilizării de către malware a unor suprapuneri invizibile și a abuzului de accesibilitate, metodele convenționale de dezinstalare sunt ineficiente. Singura abordare fiabilă de remediere implică repornirea dispozitivului în modul Safe Mode, unde aplicațiile terțe sunt dezactivate, permițând eliminarea PromptSpy.

Apariția PromptSpy subliniază o evoluție semnificativă în designul programelor malware pentru Android. Prin utilizarea inteligenței artificiale generative pentru a interpreta elementele de pe ecran și a determina dinamic strategiile de interacțiune, actorii amenințători dobândesc un nivel de adaptabilitate imposibil de atins anterior cu scripturile de automatizare statice. În loc să se bazeze pe căi de interacțiune rigide, codificate, malware-ul oferă pur și simplu inteligenței artificiale o instantanee a ecranului și primește în schimb instrucțiuni precise, pas cu pas.

Această evoluție semnalează o trecere către amenințări mobile mai autonome, rezistente și agnostice față de dispozitiv, marcând o piatră de hotar îngrijorătoare în convergența dintre inteligența artificială și criminalitatea cibernetică.

Trending

Document privat pregătit pentru o înșelătorie prin...

phishing, Spam
În peisajul amenințărilor actuale, este esențial să fim precauți atunci când gestionăm e-mailuri nesolicitate sau neașteptate. Infractorii cibernetici deghizează frecvent mesajele frauduloase în comunicări legitime pentru a manipula destinatarii să dezvăluie informații sensibile. Așa-numitele e-mailuri „Document privat a fost pregătit” nu sunt asociate cu nicio companie, organizație sau...

Cele mai văzute

Se încarcă...