Škodlivý softvér PromptSpy pre Android
Výskumníci v oblasti kybernetickej bezpečnosti identifikovali údajne prvý malvér pre Android, ktorý využíva Gemini, generatívneho chatbota s umelou inteligenciou od spoločnosti Google, ako súčasť svojho operačného pracovného postupu. Novoodhalená hrozba s názvom PromptSpy integruje rozhodovanie riadené umelou inteligenciou do svojho vykonávacieho reťazca a stratégie perzistencie.
PromptSpy je navrhnutý s rozsiahlymi funkciami dohľadu a kontroly. Jeho funkcie zahŕňajú zhromažďovanie prihlasovacích údajov z uzamknutej obrazovky, blokovanie pokusov o odinštalovanie, zhromažďovanie podrobných informácií o zariadení, zachytávanie snímok obrazovky a nahrávanie aktivity na obrazovke vo forme videa. Hlavným cieľom škodlivého softvéru je nasadiť vstavaný modul Virtual Network Computing (VNC), ktorý útočníkom poskytuje vzdialený prístup k napadnutým zariadeniam.
Obsah
AI ako automatizačný nástroj: Ako Gemini umožňuje vytrvalosť
Na rozdiel od tradičného malvéru pre Android, ktorý sa spolieha na preddefinované navigačné cesty používateľského rozhrania (UI), PromptSpy využíva generatívnu umelú inteligenciu na dynamickú interpretáciu a interakciu s obrazovkami zariadení. Vložením pevne nakódovaného modelu a výzvy umelej inteligencie malvér priraďuje agentovi umelej inteligencie úlohu „asistenta automatizácie systému Android“.
Proces infikovania zahŕňa odoslanie výzvy v prirodzenom jazyku do Gemini spolu s XML výpisom aktuálnej obrazovky. Tento XML súbor obsahuje podrobné údaje o každom komponente používateľského rozhrania vrátane textových označení, typov prvkov a presných súradníc na obrazovke. Gemini spracováva vstup a vracia štruktúrované JSON inštrukcie, ktoré malvéru nariaďujú, aké akcie má vykonať, napríklad ťuknutie na konkrétne prvky používateľského rozhrania a kde ich má spustiť.
Táto viackroková interakcia s umelou inteligenciou pokračuje, kým sa škodlivá aplikácia úspešne nepripne do zoznamu nedávnych aplikácií. Zostávaním uzamknutej v tomto stave sa aplikácia bráni jej odstráneniu alebo ukončeniu operačným systémom, čím sa dosahuje jej perzistencia. Použitie umelej inteligencie eliminuje závislosť od pevne zakódovaných sekvencií klepnutí, čo umožňuje malvéru bezproblémovo sa prispôsobiť rôznym zariadeniam, rozloženiam a verziám systému Android, čím sa výrazne rozširuje jeho potenciálna základňa obetí.
Zneužívanie prístupnosti a infraštruktúra diaľkového ovládania
PromptSpy využíva služby prístupnosti systému Android na vykonávanie pokynov generovaných umelou inteligenciou bez zásahu používateľa. Prostredníctvom týchto služieb dokáže programovo manipulovať s rozhraním zariadenia a zároveň zostať skrytý.
Jeho prevádzkové schopnosti zahŕňajú:
- Zachytávanie PIN kódov, hesiel a vzorov na odomknutie obrazovky
- Zaznamenávanie snímok obrazovky a aktivít na obrazovke na požiadanie
- Blokovanie pokusov o odstránenie prekrytím neviditeľných prvkov používateľského rozhrania
- Nadviazanie vzdialeného prístupu prostredníctvom vstavaného VNC modulu
Malvér komunikuje s pevne zakódovaným serverom Command-and-Control (C2) na adrese „54.67.2.84“ pomocou protokolu VNC. Z tohto servera tiež získava kľúč rozhrania Gemini API, čo umožňuje pokračovanie v operáciách riadených umelou inteligenciou. Neviditeľné prekrytia sa používajú na zabránenie pokusom používateľov o odinštalovanie aplikácie, čím sa obete efektívne zachytávajú, pokiaľ sa neprijmú konkrétne kroky na nápravu.
Taktiky infekčného reťazca a sociálneho inžinierstva
PromptSpy nie je distribuovaný prostredníctvom oficiálnych trhovísk s aplikáciami, ako je Google Play. Namiesto toho je distribuovaný prostredníctvom špecializovanej škodlivej webovej stránky „mgardownload(bodka)com“, ktorá poskytuje aplikáciu na sťahovanie. Po nainštalovaní a spustení aplikácia presmeruje obete na inú stránku „m-mgarg(bodka)com“.
Operácia sa maskuje ako JPMorgan Chase pod názvom „MorganArg“, čo odkazuje na Morgan Argentina. Obete sú sociálne inžiniermi prinútené udeliť povolenie na inštaláciu aplikácií z neznámych zdrojov. Následne útočník kontaktuje svoj server, aby získal konfiguračný súbor obsahujúci odkaz na stiahnutie ďalšieho súboru APK, ktorý je v španielčine prezentovaný ako legitímna aktualizácia. Počas následnej analýzy sa zistilo, že konfiguračný server je offline, takže presná URL adresa užitočného zaťaženia nebola určená.
PromptSpy sa považuje za pokročilý vývoj predtým nezdokumentovanej hrozby pre Android známej ako VNCSpy.
Atribučné indície a vzorce zacielenia
Analýza jazykových artefaktov a distribučných mechanizmov naznačuje, že kampaň je finančne motivovaná a primárne zameraná na používateľov v Argentíne. Technické indikátory však odhaľujú, že malvér bol pravdepodobne vyvinutý v čínsky hovoriacom prostredí, o čom svedčia ladiace reťazce napísané v zjednodušenej čínštine vložené do kódovej základne.
Problémy s odstránením a obranné dôsledky
Vzhľadom na používanie neviditeľných prekrytí a zneužívanie prístupnosti škodlivým softvérom sú konvenčné metódy odinštalovania neúčinné. Jediným spoľahlivým spôsobom nápravy je reštartovanie zariadenia do núdzového režimu, kde sú aplikácie tretích strán zakázané, čo umožňuje odstránenie PromptSpy.
Vznik PromptSpy podčiarkuje významný vývoj v dizajne malvéru pre Android. Využitím generatívnej umelej inteligencie na interpretáciu prvkov na obrazovke a dynamické určenie stratégií interakcie získavajú útočníci úroveň prispôsobivosti, ktorá bola predtým nedosiahnuteľná so statickými automatizačnými skriptmi. Namiesto spoliehania sa na rigidné, pevne zakódované cesty interakcie malvér jednoducho poskytne umelej inteligencii snímku obrazovky a na oplátku dostane presné podrobné pokyny.
Tento vývoj signalizuje posun smerom k autonómnejším, odolnejším a od zariadenia nezávislým mobilným hrozbám, čo predstavuje znepokojujúci míľnik v konvergencii umelej inteligencie a kyberkriminality.
