PromptSpy злонамерни софтвер за Андроид
Истраживачи сајбер безбедности идентификовали су оно што се сматра првим Андроид малвером који је оружјем искористио Џемини, Гуглов генеративни четбот за вештачку интелигенцију, као део свог оперативног тока рада. Новооткривена претња, названа PromptSpy, интегрише доношење одлука вођено вештачком интелигенцијом у свој ланац извршења и стратегију истрајности.
PromptSpy је пројектован са опсежним могућностима надзора и контроле. Његова функционалност укључује прикупљање података са закључаног екрана, блокирање покушаја деинсталације, прикупљање детаљних информација о уређају, прављење снимака екрана и снимање активности на екрану у облику видеа. Примарни циљ злонамерног софтвера је да примени уграђени модул за виртуелно мрежно рачунарство (VNC), омогућавајући нападачима даљински приступ угроженим уређајима.
Преглед садржаја
Вештачка интелигенција као мотор за аутоматизацију: Како Gemini омогућава истрајност
За разлику од традиционалног Андроид малвера који се ослања на унапред дефинисане путање навигације корисничког интерфејса (UI), PromptSpy користи генеративну вештачку интелигенцију за динамичко тумачење и интеракцију са екранима уређаја. Уграђивањем чврсто кодираног АИ модела и промпта, малвер додељује АИ агенту улогу „Андроид асистента за аутоматизацију“.
Процес инфекције подразумева слање упита на природном језику компанији Gemini заједно са XML дампом тренутног екрана. Ова XML датотека садржи детаљне податке о свакој корисничкој компоненти, укључујући текстуалне ознаке, типове елемената и тачне координате на екрану. Gemini обрађује унос и враћа структуриране JSON инструкције које усмеравају злонамерни софтвер на то које радње да изврши, као што је додиривање одређених корисничких елемената и где да их изврши.
Ова вишестепена интеракција вођена вештачком интелигенцијом наставља се све док се злонамерна апликација успешно не закачи на листу недавних апликација. Остајући закључана у овом стању, апликација се отпорна је на уклањање или прекидање од стране оперативног система, чиме се постиже постојаност. Употреба вештачке интелигенције елиминише ослањање на чврсто кодиране секвенце додира, омогућавајући злонамерном софтверу да се беспрекорно прилагоди различитим уређајима, распоредима и верзијама Андроида, значајно проширујући своју потенцијалну базу жртава.
Злоупотреба приступачности и инфраструктура даљинског управљања
PromptSpy користи Андроидове сервисе за приступачност како би извршавао инструкције генерисане вештачком интелигенцијом без интеракције корисника. Путем ових сервиса, може програмски манипулисати интерфејсом уређаја, а да притом остане скривен.
Његове оперативне могућности укључују:
- Пресретање ПИН-ова, лозинки и шаблона за откључавање екрана
- Снимање снимака екрана и активности на екрану на захтев
- Блокирање покушаја уклањања преклапањем невидљивих елемената корисничког интерфејса
- Успостављање удаљеног приступа путем уграђеног VNC модула
Злонамерни софтвер комуницира са чврсто кодираним командно-контролним (C2) сервером на адреси '54.67.2.84' користећи VNC протокол. Такође преузима Gemini API кључ са овог сервера, омогућавајући континуиране операције вођене вештачком интелигенцијом. Невидљиви прекривачи се користе за спречавање покушаја корисника да деинсталирају апликацију, ефикасно заробљавајући жртве осим ако се не предузму одређени кораци за санацију.
Ланац инфекције и тактике социјалног инжењеринга
PromptSpy се не дистрибуира путем званичних продавница апликација као што је Google Play. Уместо тога, испоручује се преко наменске злонамерне веб странице, „mgardownload(dot)com“, која пружа апликацију за преусмеравање. Након инсталирања и покретања, апликација за преусмеравање преусмерава жртве на другу страницу, „m-mgarg(dot)com“.
Операција се маскира као JPMorgan Chase под именом „MorganArg“, референцирајући Morgan Argentina. Жртве су друштвено инжењерисане да дају дозволу за инсталирање апликација из непознатих извора. Након тога, дропер контактира свој сервер како би преузео конфигурациону датотеку која садржи везу за преузимање додатне APK датотеке, представљене на шпанском као легитимно ажурирање. Током накнадне анализе, утврђено је да је конфигурациони сервер ван мреже, тако да тачан URL корисног терета није одређен.
PromptSpy се сматра напредном еволуцијом раније недокументоване Андроид претње познате као VNCSpy.
Трагови атрибуције и обрасци циљања
Анализа језичких артефаката и механизама дистрибуције сугерише да је кампања финансијски мотивисана и првенствено усмерена на кориснике у Аргентини. Међутим, технички индикатори откривају да је злонамерни софтвер вероватно развијен у кинеском говорном окружењу, што доказују стрингови за отклањање грешака написани на поједностављеном кинеском језику уграђени у базу кода.
Изазови уклањања и одбрамбене импликације
Због коришћења невидљивих прекривача од стране злонамерног софтвера и злоупотребе приступачности, конвенционалне методе деинсталације су неефикасне. Једини поуздан приступ ремедијацији укључује поновно покретање уређаја у безбедном режиму, где су апликације трећих страна онемогућене, што омогућава уклањање PromptSpy-а.
Појава PromptSpy-а наглашава значајну еволуцију у дизајну Андроид малвера. Коришћењем генеративне вештачке интелигенције за тумачење елемената на екрану и динамичко одређивање стратегија интеракције, актери претњи добијају ниво прилагодљивости који раније није био достижан статичким скриптама за аутоматизацију. Уместо да се ослања на круте, чврсто кодиране путање интеракције, малвер једноставно пружа вештачкој интелигенцији снимак екрана и заузврат добија прецизна, корак-по-корак упутства.
Овај развој догађаја сигнализира помак ка аутономнијим, отпорнијим и мобилним претњама независним од уређаја, што означава забрињавајућу прекретницу у конвергенцији вештачке интелигенције и сајбер криминала.
