Rabattoffert för flera licenser
Hotdatabas Mobil skadlig programvara PromptSpy Android-skadlig programvara

PromptSpy Android-skadlig programvara

Med Mezo år Mobil skadlig programvara
Översätt till:

Cybersäkerhetsforskare har identifierat vad som tros vara den första Android-skadliga programvaran som utnyttjar Gemini, Googles generativa artificiella intelligens-chatbot, som ett vapen i sitt operativa arbetsflöde. Det nyligen upptäckta hotet, kallat PromptSpy, integrerar AI-drivet beslutsfattande i sin exekveringskedja och uthållighetsstrategi.

PromptSpy är konstruerat med omfattande övervaknings- och kontrollfunktioner. Dess funktionalitet inkluderar insamling av låsskärmsuppgifter, blockering av avinstallationsförsök, insamling av detaljerad enhetsinformation, skärmdumpning och videoinspelning av aktivitet på skärmen. Den skadliga programvarans primära mål är att distribuera en inbäddad VNC-modul (Virtual Network Computing), vilket ger angripare fjärråtkomst till komprometterade enheter.

AI som automationsmotor: Hur Gemini möjliggör uthållighet

Till skillnad från traditionell Android-skadlig programvara som förlitar sig på fördefinierade navigeringsvägar i användargränssnittet (UI), använder PromptSpy generativ AI för att dynamiskt tolka och interagera med enhetsskärmar. Genom att bädda in en hårdkodad AI-modell och prompt tilldelar skadlig programvara AI-agenten rollen som en "Android-automatiseringsassistent".

Infektionsprocessen innebär att en uppmaning om naturligt språk skickas till Gemini tillsammans med en XML-dump av den aktuella skärmen. Denna XML-fil innehåller detaljerad data om varje UI-komponent, inklusive textetiketter, elementtyper och exakta koordinater på skärmen. Gemini bearbetar indata och returnerar strukturerade JSON-instruktioner som anger vilka åtgärder som ska utföras, till exempel att trycka på specifika UI-element och var de ska utföras.

Denna AI-styrda interaktion i flera steg fortsätter tills den skadliga applikationen har låsts i listan över senaste appar. Genom att förbli låst i detta tillstånd motstår appen att bli svept bort eller avslutad av operativsystemet, vilket uppnår persistens. Användningen av AI eliminerar beroendet av hårdkodade trycksekvenser, vilket gör att skadlig kod kan anpassa sig sömlöst till olika enheter, layouter och Android-versioner, vilket avsevärt utökar dess potentiella offerbas.

Tillgänglighetsmissbruk och infrastruktur för fjärrstyrning

PromptSpy utnyttjar Androids tillgänglighetstjänster för att utföra AI-genererade instruktioner utan användarinteraktion. Genom dessa tjänster kan den manipulera enhetens gränssnitt programmatiskt samtidigt som den förblir dold.

Dess operativa kapacitet inkluderar:

  • Avlyssna PIN-koder, lösenord och mönster för upplåsning av låsskärmen
  • Ta skärmdumpar och spela in skärmaktivitet på begäran
  • Blockera borttagningsförsök genom att lägga osynliga UI-element över varandra
  • Upprätta fjärråtkomst via en inbäddad VNC-modul

Skadlig programvara kommunicerar med en hårdkodad Command-and-Control (C2)-server på '54.67.2.84' med hjälp av VNC-protokollet. Den hämtar också Gemini API-nyckeln från denna server, vilket möjliggör fortsatt AI-driven drift. Osynliga överlagringar används för att hindra användarnas försök att avinstallera appen, vilket effektivt fångar offren om inte specifika åtgärder vidtas.

Infektionskedjan och social ingenjörskonst

PromptSpy distribueras inte via officiella appmarknadsplatser som Google Play. Istället levereras det via en dedikerad skadlig webbplats, 'mgardownload(dot)com', som tillhandahåller en dropper-applikation. När den är installerad och körd omdirigerar dropper-applikationen offren till en annan webbplats, 'm-mgarg(dot)com'.

Operationen maskeras som JPMorgan Chase under namnet "MorganArg", med hänvisning till Morgan Argentina. Offren manipuleras socialt för att ge tillstånd att installera applikationer från okända källor. Därefter kontaktar dropparen sin server för att hämta en konfigurationsfil som innehåller en länk för att ladda ner en ytterligare APK-fil, presenterad på spanska som en legitim uppdatering. Under efterföljande analys visade det sig att konfigurationsservern var offline, vilket lämnade den exakta nyttolastens URL obestämd.

PromptSpy anses vara en avancerad utveckling av ett tidigare odokumenterat Android-hot som kallas VNCSpy.

Attribueringsledtrådar och inriktningsmönster

Analys av språkliga artefakter och distributionsmekanismer tyder på att kampanjen är ekonomiskt motiverad och främst riktar sig till användare i Argentina. Tekniska indikatorer visar dock att den skadliga programvaran sannolikt utvecklades i en kinesisktalande miljö, vilket framgår av felsökningssträngar skrivna på förenklad kinesiska inbäddade i kodbasen.

Utmaningar vid borttagning och defensiva konsekvenser

På grund av skadlig programvaras användning av osynliga överlagringar och tillgänglighetsmissbruk är konventionella avinstallationsmetoder ineffektiva. Den enda tillförlitliga åtgärdsmetoden är att starta om enheten i felsäkert läge, där tredjepartsprogram inaktiveras, vilket gör att PromptSpy kan tas bort.

Framväxten av PromptSpy understryker en betydande utveckling inom design av Android-skadlig kod. Genom att använda generativ AI för att tolka element på skärmen och dynamiskt bestämma interaktionsstrategier får hotaktörer en nivå av anpassningsförmåga som tidigare inte kunde uppnås med statiska automatiseringsskript. Istället för att förlita sig på rigida, hårdkodade interaktionsvägar förser skadlig kod AI:n helt enkelt med en ögonblicksbild av skärmen och får exakta steg-för-steg-instruktioner i gengäld.

Denna utveckling signalerar ett skifte mot mer autonoma, motståndskraftiga och enhetsoberoende mobila hot, vilket markerar en oroande milstolpe i konvergensen av artificiell intelligens och cyberbrottslighet.

Trendigt

Mest sedda

Läser in...