Zlonamerna programska oprema PromptSpy za Android
Raziskovalci kibernetske varnosti so odkrili domnevno prvo zlonamerno programsko opremo za Android, ki je kot del operativnega delovnega procesa uporabila Geminija, Googlovega generativnega klepetalnega robota z umetno inteligenco. Novo odkrita grožnja, poimenovana PromptSpy, v svojo izvedbeno verigo in strategijo vztrajnosti integrira odločanje, ki ga poganja umetna inteligenca.
PromptSpy je zasnovan z obsežnimi zmogljivostmi nadzora in upravljanja. Njegova funkcionalnost vključuje zbiranje poverilnic za zaklenjen zaslon, blokiranje poskusov odstranitve, zbiranje podrobnih informacij o napravi, zajemanje posnetkov zaslona in snemanje aktivnosti na zaslonu v obliki videoposnetka. Glavni cilj zlonamerne programske opreme je namestitev vgrajenega modula za virtualno omrežno računalništvo (VNC), ki napadalcem omogoča oddaljeni dostop do ogroženih naprav.
Kazalo
Umetna inteligenca kot avtomatizacijski mehanizem: Kako Gemini omogoča vztrajnost
Za razliko od tradicionalne zlonamerne programske opreme za Android, ki se zanaša na vnaprej določene navigacijske poti uporabniškega vmesnika (UI), PromptSpy izkorišča generativno umetno inteligenco za dinamično interpretacijo in interakcijo z zasloni naprav. Z vdelavo trdo kodiranega modela umetne inteligence in poziva zlonamerna programska oprema dodeli agentu umetne inteligence vlogo »pomočnika za avtomatizacijo Androida«.
Proces okužbe vključuje pošiljanje pozivov v naravnem jeziku Gemini skupaj z izpisom XML trenutnega zaslona. Ta datoteka XML vsebuje podrobne podatke o vsaki komponenti uporabniškega vmesnika, vključno z besedilnimi oznakami, vrstami elementov in natančnimi koordinatami na zaslonu. Gemini obdela vnos in vrne strukturirana navodila JSON, ki zlonamerni programski opremi nalagajo, katera dejanja naj izvede, na primer dotikanje določenih elementov uporabniškega vmesnika in kje naj jih izvede.
Ta večstopenjska interakcija, ki jo vodi umetna inteligenca, se nadaljuje, dokler zlonamerne aplikacije ni uspešno dodano na seznam nedavnih aplikacij. Če aplikacija ostane zaklenjena v tem stanju, se upre, da bi jo operacijski sistem odstranil ali ustavil, s čimer se doseže trajnost. Uporaba umetne inteligence odpravlja odvisnost od trdo kodiranih zaporedij dotikov, kar omogoča zlonamerni programski opremi, da se brezhibno prilagodi različnim napravam, postavitvam in različicam Androida, s čimer znatno razširi svojo potencialno bazo žrtev.
Zloraba dostopnosti in infrastruktura za daljinsko upravljanje
PromptSpy izkorišča storitve dostopnosti sistema Android za izvajanje navodil, ki jih ustvari umetna inteligenca, brez interakcije uporabnika. Prek teh storitev lahko programsko manipulira z vmesnikom naprave, medtem ko ostane skrit.
Njegove operativne zmogljivosti vključujejo:
- Prestrezanje PIN-ov, gesel in vzorcev za odklepanje zaslona
- Zajemanje posnetkov zaslona in snemanje aktivnosti na zaslonu na zahtevo
- Blokiranje poskusov odstranitve s prekrivanjem nevidnih elementov uporabniškega vmesnika
- Vzpostavitev oddaljenega dostopa prek vgrajenega modula VNC
Zlonamerna programska oprema komunicira s trdo kodiranim strežnikom Command-and-Control (C2) na naslovu '54.67.2.84' z uporabo protokola VNC. Prav tako pridobi ključ Gemini API s tega strežnika, kar omogoča nadaljnje delovanje, ki ga poganja umetna inteligenca. Nevidni prekrivni elementi se uporabljajo za preprečevanje poskusov uporabnikov, da bi odstranili aplikacijo, in učinkovito ujamejo žrtve, razen če se sprejmejo določeni ukrepi za odpravo napake.
Veriga okužb in taktike socialnega inženiringa
PromptSpy se ne distribuira prek uradnih tržnic z aplikacijami, kot je Google Play. Namesto tega se dostavlja prek namenskega zlonamernega spletnega mesta »mgardownload(dot)com«, ki ponuja aplikacijo za namestitev. Ko je nameščena in zagnana, aplikacija preusmeri žrtve na drugo spletno mesto »m-mgarg(dot)com«.
Operacija se maskira kot JPMorgan Chase pod imenom »MorganArg«, kar se nanaša na Morgan Argentina. Žrtve so s socialnim inženiringom prisiljene dati dovoljenje za namestitev aplikacij iz neznanih virov. Nato se programska oprema poveže s svojim strežnikom, da pridobi konfiguracijsko datoteko s povezavo za prenos dodatne datoteke APK, ki je v španščini predstavljena kot legitimna posodobitev. Med nadaljnjo analizo je bilo ugotovljeno, da je konfiguracijski strežnik brez povezave, zato natančen URL koristnega tovora ni bil določen.
PromptSpy velja za napredno različico prej nedokumentirane grožnje za Android, znane kot VNCSpy.
Namigi za pripisovanje in vzorci ciljanja
Analiza jezikovnih artefaktov in mehanizmov distribucije kaže, da je kampanja finančno motivirana in je namenjena predvsem uporabnikom v Argentini. Vendar pa tehnični kazalniki kažejo, da je bila zlonamerna programska oprema verjetno razvita v kitajsko govorečem okolju, kar dokazujejo nizi za odpravljanje napak, napisani v poenostavljeni kitajščini, vdelani v kodno bazo.
Izzivi odstranitve in obrambne posledice
Zaradi uporabe nevidnih prekrivnih slojev in zlorabe dostopnosti s strani zlonamerne programske opreme so običajne metode odstranitve neučinkovite. Edini zanesljiv pristop k odpravi težave vključuje ponovni zagon naprave v varnem načinu, kjer so aplikacije drugih ponudnikov onemogočene, kar omogoča odstranitev programa PromptSpy.
Pojav PromptSpyja poudarja pomemben razvoj v zasnovi zlonamerne programske opreme za Android. Z uporabo generativne umetne inteligence za interpretacijo elementov na zaslonu in dinamično določanje strategij interakcije akterji grožnje dosežejo raven prilagodljivosti, ki je prej ni bilo mogoče doseči s statičnimi avtomatiziranimi skripti. Namesto da se zanaša na toge, trdo kodirane poti interakcije, zlonamerna programska oprema preprosto posreduje umetni inteligenci posnetek zaslona in v zameno prejme natančna navodila po korakih.
Ta razvoj dogodkov kaže na premik k bolj avtonomnim, odpornim in od naprave neodvisnim mobilnim grožnjam, kar pomeni zaskrbljujoč mejnik v zbliževanju umetne inteligence in kibernetske kriminalitete.
