Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Malware celular PromptSpy Android Malware

PromptSpy Android Malware

Nga MezoMalware celular
Përkthe në:

Studiuesit e sigurisë kibernetike kanë identifikuar atë që besohet të jetë malware-i i parë Android që përdor Gemini-n, chatbot-in e inteligjencës artificiale gjeneruese të Google-it, si pjesë e rrjedhës së saj operative të punës. Kërcënimi i zbuluar rishtazi, i quajtur PromptSpy, integron vendimmarrjen e drejtuar nga IA në zinxhirin e ekzekutimit dhe strategjinë e tij të këmbënguljes.

PromptSpy është projektuar me aftësi të gjera mbikëqyrjeje dhe kontrolli. Funksionaliteti i tij përfshin mbledhjen e kredencialeve të bllokimit të ekranit, bllokimin e përpjekjeve të çinstalimit, mbledhjen e informacionit të detajuar të pajisjes, kapjen e pamjeve të ekranit dhe regjistrimin e aktivitetit në ekran si video. Objektivi kryesor i malware është të vendosë një modul të integruar të Kompjuterizimit Virtual të Rrjetit (VNC), duke u dhënë sulmuesve qasje në distancë në pajisjet e kompromentuara.

IA si një Motor Automatizimi: Si Gemini Mundëson Këmbënguljen

Ndryshe nga programet tradicionale keqdashëse për Android që mbështeten në shtigje navigimi të paracaktuara të ndërfaqes së përdoruesit (UI), PromptSpy përdor inteligjencën artificiale gjeneruese për të interpretuar dhe bashkëvepruar në mënyrë dinamike me ekranet e pajisjes. Duke integruar një model dhe një mesazh të koduar fort të inteligjencës artificiale, programi keqdashës i cakton agjentit të inteligjencës artificiale rolin e një 'asistent automatizimi për Android'.

Procesi i infektimit përfshin transmetimin e një mesazhi në gjuhën natyrore te Gemini së bashku me një skedar XML të ekranit aktual. Ky skedar XML përmban të dhëna të detajuara mbi secilin komponent të UI-t, duke përfshirë etiketat e tekstit, llojet e elementeve dhe koordinatat e sakta në ekran. Gemini përpunon të dhënat hyrëse dhe kthen udhëzime të strukturuara JSON që drejtojnë programin keqdashës se cilat veprime duhet të kryejë, siç është prekja e elementeve specifike të UI-t dhe ku t'i ekzekutojë ato.

Ky ndërveprim shumë-hapësh i udhëhequr nga inteligjenca artificiale vazhdon derisa aplikacioni keqdashës të fiksohet me sukses në listën e aplikacioneve të fundit. Duke mbetur i bllokuar në këtë gjendje, aplikacioni i reziston largimit me shpejtësi ose mbylljes nga sistemi operativ, duke arritur kështu qëndrueshmëri. Përdorimi i inteligjencës artificiale eliminon mbështetjen në sekuencat e prekjes së koduara fort, duke i lejuar malware-it të përshtatet pa probleme në pajisje, paraqitje dhe versione të ndryshme të Android, duke zgjeruar ndjeshëm bazën e tij të mundshme të viktimave.

Abuzimi i Aksesueshmërisë dhe Infrastruktura e Kontrollit në Distancë

PromptSpy shfrytëzon shërbimet e aksesueshmërisë së Android për të ekzekutuar udhëzime të gjeneruara nga inteligjenca artificiale pa ndërveprimin e përdoruesit. Nëpërmjet këtyre shërbimeve, ai mund të manipulojë ndërfaqen e pajisjes në mënyrë programore, ndërkohë që mbetet i fshehur.

Aftësitë e saj operative përfshijnë:

  • Ndërhyrja e PIN-eve, fjalëkalimeve dhe hyrjeve të zhbllokimit me model të ekranit të kyçjes
  • Kapja e pamjeve të ekranit dhe regjistrimi i aktivitetit të ekranit sipas kërkesës
  • Bllokimi i përpjekjeve për heqje duke mbivendosur elementë të padukshëm të ndërfaqes së përdoruesit
  • Vendosja e aksesit në distancë nëpërmjet një moduli VNC të integruar

Malware-i komunikon me një server të koduar fort Command-and-Control (C2) në '54.67.2.84' duke përdorur protokollin VNC. Ai gjithashtu merr çelësin Gemini API nga ky server, duke mundësuar operacione të vazhdueshme të drejtuara nga inteligjenca artificiale. Mbivendosjet e padukshme përdoren për të penguar përpjekjet e përdoruesit për të çinstaluar aplikacionin, duke i zënë në kurth viktimat në mënyrë efektive nëse nuk ndërmerren hapa specifikë korrigjimi.

Zinxhiri i Infeksionit dhe Taktikat e Inxhinierisë Sociale

PromptSpy nuk shpërndahet nëpërmjet tregjeve zyrtare të aplikacioneve si Google Play. Në vend të kësaj, ai shpërndahet nëpërmjet një faqeje interneti të dedikuar keqdashëse, 'mgardownload(dot)com', e cila ofron një aplikacion dropper. Pasi instalohet dhe ekzekutohet, dropper i ridrejton viktimat në një faqe tjetër, 'm-mgarg(dot)com'.

Operacioni maskohet si JPMorgan Chase nën emrin 'MorganArg', duke iu referuar Morgan Argentina. Viktimat manipulohen socialisht për të dhënë leje për të instaluar aplikacione nga burime të panjohura. Më pas, dropper kontakton serverin e tij për të marrë një skedar konfigurimi që përmban një lidhje për të shkarkuar një skedar shtesë APK, të paraqitur në spanjisht si një përditësim i ligjshëm. Gjatë analizës pasuese, serveri i konfigurimit u gjet të ishte jashtë linje, duke lënë URL-në e saktë të ngarkesës të papërcaktuar.

PromptSpy konsiderohet një evolucion i avancuar i një kërcënimi Android të padokumentuar më parë, i njohur si VNCSpy.

Indikacionet e Atribuimit dhe Modelet e Synimit

Analiza e artefakteve gjuhësore dhe mekanizmave të shpërndarjes sugjeron që fushata është e motivuar financiarisht dhe kryesisht synon përdoruesit në Argjentinë. Megjithatë, treguesit teknikë zbulojnë se programi keqdashës ka të ngjarë të jetë zhvilluar në një mjedis kinezishtfolës, siç dëshmohet nga vargjet e debug-ut të shkruara në kinezishten e thjeshtuar të integruara brenda bazës së kodit.

Sfidat e Largimit dhe Implikimet Mbrojtëse

Për shkak të përdorimit të mbulesave të padukshme nga programi keqdashës dhe abuzimit me aksesueshmërinë, metodat konvencionale të çinstalimit janë joefektive. E vetmja qasje e besueshme për korrigjim përfshin rinisjen e pajisjes në Modalitetin e Sigurt, ku aplikacionet e palëve të treta çaktivizohen, duke lejuar që PromptSpy të hiqet.

Shfaqja e PromptSpy nënvizon një evolucion të rëndësishëm në dizajnin e programeve keqdashëse për Android. Duke përdorur inteligjencën artificiale gjeneruese për të interpretuar elementët në ekran dhe për të përcaktuar strategjitë e ndërveprimit në mënyrë dinamike, aktorët kërcënues fitojnë një nivel përshtatshmërie që më parë nuk ishte i arritshëm me skripte automatizimi statik. Në vend që të mbështetet në shtigje të ngurta dhe të koduara të ndërveprimit, programi keqdashës thjesht i ofron inteligjencës artificiale një pamje të ekranit dhe merr udhëzime të sakta hap pas hapi në këmbim.

Ky zhvillim sinjalizon një zhvendosje drejt kërcënimeve mobile më autonome, elastike dhe agnostike ndaj pajisjeve, duke shënuar një moment shqetësues në konvergjencën e inteligjencës artificiale dhe krimit kibernetik.

Në trend

Është përgatitur një dokument privat, mashtrim me email

Fishing, Spam
Të qëndrosh i kujdesshëm kur merresh me email-e të pakërkuara ose të papritura është thelbësore në peizazhin e kërcënimeve të sotme. Kriminelët kibernetikë shpesh i maskojnë mesazhet mashtruese si komunikime legjitime me qëllim që t'i manipulojnë marrësit që të zbulojnë informacione të ndjeshme. Email-et e ashtuquajtura "Dokumenti Privat është Përgatitur" nuk shoqërohen me asnjë kompani,...

Më e shikuara

Po ngarkohet...