PromptSpy Android Malware

గూగుల్ యొక్క జనరేటివ్ ఆర్టిఫిషియల్ ఇంటెలిజెన్స్ చాట్‌బాట్ అయిన జెమినిని ఆయుధంగా ఉపయోగించిన మొట్టమొదటి ఆండ్రాయిడ్ మాల్వేర్ అని నమ్ముతున్న దానిని సైబర్ సెక్యూరిటీ పరిశోధకులు దాని కార్యాచరణ వర్క్‌ఫ్లోలో భాగంగా గుర్తించారు. కొత్తగా బయటపడిన ముప్పు, ప్రాంప్ట్‌స్పై అని పిలువబడుతుంది, AI- ఆధారిత నిర్ణయం తీసుకోవడాన్ని దాని అమలు గొలుసు మరియు నిలకడ వ్యూహంలో అనుసంధానిస్తుంది.

ప్రాంప్ట్‌స్పై విస్తృతమైన నిఘా మరియు నియంత్రణ సామర్థ్యాలతో రూపొందించబడింది. దీని కార్యాచరణలో లాక్‌స్క్రీన్ ఆధారాలను సేకరించడం, అన్‌ఇన్‌స్టాలేషన్ ప్రయత్నాలను నిరోధించడం, వివరణాత్మక పరికర సమాచారాన్ని సేకరించడం, స్క్రీన్‌షాట్‌లను సంగ్రహించడం మరియు ఆన్-స్క్రీన్ కార్యాచరణను వీడియోగా రికార్డ్ చేయడం వంటివి ఉన్నాయి. మాల్వేర్ యొక్క ప్రాథమిక లక్ష్యం ఎంబెడెడ్ వర్చువల్ నెట్‌వర్క్ కంప్యూటింగ్ (VNC) మాడ్యూల్‌ను అమలు చేయడం, దాడి చేసేవారికి రాజీపడిన పరికరాలకు రిమోట్ యాక్సెస్‌ను మంజూరు చేయడం.

ఆటోమేషన్ ఇంజిన్‌గా AI: జెమిని నిలకడను ఎలా అనుమతిస్తుంది

ముందే నిర్వచించబడిన వినియోగదారు ఇంటర్‌ఫేస్ (UI) నావిగేషన్ మార్గాలపై ఆధారపడే సాంప్రదాయ Android మాల్వేర్ మాదిరిగా కాకుండా, ప్రాంప్ట్‌స్పై పరికర స్క్రీన్‌లతో డైనమిక్‌గా అర్థం చేసుకోవడానికి మరియు సంకర్షణ చెందడానికి జనరేటివ్ AIని ప్రభావితం చేస్తుంది. హార్డ్-కోడెడ్ AI మోడల్ మరియు ప్రాంప్ట్‌ను పొందుపరచడం ద్వారా, మాల్వేర్ AI ఏజెంట్‌కు 'Android ఆటోమేషన్ అసిస్టెంట్' పాత్రను కేటాయిస్తుంది.

ఇన్ఫెక్షన్ ప్రక్రియలో ప్రస్తుత స్క్రీన్ యొక్క XML డంప్‌తో పాటు జెమినికి సహజ భాషా ప్రాంప్ట్‌ను ప్రసారం చేయడం జరుగుతుంది. ఈ XML ఫైల్ ప్రతి UI కాంపోనెంట్‌లోని గ్రాన్యులర్ డేటాను కలిగి ఉంటుంది, ఇందులో టెక్స్ట్ లేబుల్‌లు, ఎలిమెంట్ రకాలు మరియు ఖచ్చితమైన ఆన్-స్క్రీన్ కోఆర్డినేట్‌లు ఉంటాయి. జెమిని ఇన్‌పుట్‌ను ప్రాసెస్ చేస్తుంది మరియు నిర్దిష్ట UI ఎలిమెంట్‌లను ట్యాప్ చేయడం మరియు వాటిని ఎక్కడ అమలు చేయాలో మాల్వేర్‌కు నిర్దేశించే నిర్మాణాత్మక JSON సూచనలను అందిస్తుంది.

ఇటీవలి యాప్‌ల జాబితాలో హానికరమైన అప్లికేషన్ విజయవంతంగా పిన్ చేయబడే వరకు ఈ బహుళ-దశల AI-గైడెడ్ ఇంటరాక్షన్ కొనసాగుతుంది. ఈ స్థితిలో లాక్ చేయబడటం ద్వారా, యాప్ ఆపరేటింగ్ సిస్టమ్ ద్వారా స్వైప్ చేయబడకుండా లేదా ముగించబడకుండా నిరోధిస్తుంది, తద్వారా నిలకడను సాధిస్తుంది. AI వాడకం హార్డ్‌కోడ్ చేయబడిన ట్యాప్ సీక్వెన్స్‌లపై ఆధారపడటాన్ని తొలగిస్తుంది, మాల్వేర్ వివిధ పరికరాలు, లేఅవుట్‌లు మరియు Android వెర్షన్‌లకు సజావుగా అనుగుణంగా ఉండటానికి అనుమతిస్తుంది, దాని సంభావ్య బాధితుల స్థావరాన్ని గణనీయంగా విస్తరిస్తుంది.

యాక్సెసిబిలిటీ దుర్వినియోగం మరియు రిమోట్ కంట్రోల్ మౌలిక సదుపాయాలు

ప్రాంప్ట్‌స్పై ఆండ్రాయిడ్ యాక్సెసిబిలిటీ సేవలను ఉపయోగించుకుని, యూజర్ ఇంటరాక్షన్ లేకుండానే AI-జనరేటెడ్ సూచనలను అమలు చేస్తుంది. ఈ సేవల ద్వారా, ఇది దాచబడి ఉంటూనే పరికర ఇంటర్‌ఫేస్‌ను ప్రోగ్రామాటిక్‌గా మార్చగలదు.

దీని కార్యాచరణ సామర్థ్యాలు:

• లాక్‌స్క్రీన్ పిన్‌లు, పాస్‌వర్డ్‌లు మరియు నమూనా అన్‌లాక్ ఇన్‌పుట్‌లను అడ్డగించడం
• స్క్రీన్‌షాట్‌లను సంగ్రహించడం మరియు డిమాండ్‌పై స్క్రీన్ కార్యాచరణను రికార్డ్ చేయడం
• అదృశ్య UI ఎలిమెంట్‌లను అతివ్యాప్తి చేయడం ద్వారా తొలగింపు ప్రయత్నాలను నిరోధించడం
• ఎంబెడెడ్ VNC మాడ్యూల్ ద్వారా రిమోట్ యాక్సెస్‌ను ఏర్పాటు చేయడం

ఈ మాల్వేర్ '54.67.2.84' వద్ద ఉన్న హార్డ్-కోడెడ్ కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్‌తో VNC ప్రోటోకాల్‌ను ఉపయోగించి కమ్యూనికేట్ చేస్తుంది. ఇది ఈ సర్వర్ నుండి జెమిని API కీని కూడా తిరిగి పొందుతుంది, AI-ఆధారిత కార్యకలాపాలను కొనసాగించడానికి వీలు కల్పిస్తుంది. యాప్‌ను అన్‌ఇన్‌స్టాల్ చేయడానికి వినియోగదారు ప్రయత్నాలను నిరోధించడానికి అదృశ్య ఓవర్‌లేలు ఉపయోగించబడతాయి, నిర్దిష్ట పరిష్కార చర్యలు తీసుకోకపోతే బాధితులను సమర్థవంతంగా ట్రాప్ చేస్తాయి.

ఇన్ఫెక్షన్ చైన్ మరియు సోషల్ ఇంజనీరింగ్ వ్యూహాలు

ప్రాంప్ట్‌స్పై Google Play వంటి అధికారిక యాప్ మార్కెట్‌ప్లేస్‌ల ద్వారా పంపిణీ చేయబడదు. బదులుగా, ఇది 'mgardownload(dot)com' అనే ప్రత్యేక హానికరమైన వెబ్‌సైట్ ద్వారా పంపిణీ చేయబడుతుంది, ఇది డ్రాపర్ అప్లికేషన్‌ను అందిస్తుంది. ఇన్‌స్టాల్ చేసి అమలు చేసిన తర్వాత, డ్రాపర్ బాధితులను మరొక సైట్ 'm-mgarg(dot)com' కు దారి మళ్లిస్తుంది.

ఈ ఆపరేషన్ 'మోర్గాన్ఆర్గ్' పేరుతో JP మోర్గాన్ చేజ్‌గా మారువేషంలో ఉంది, ఇది మోర్గాన్ అర్జెంటీనాను సూచిస్తుంది. బాధితులు తెలియని మూలాల నుండి అప్లికేషన్‌లను ఇన్‌స్టాల్ చేయడానికి అనుమతి మంజూరు చేయడానికి సామాజికంగా ఇంజనీరింగ్ చేయబడతారు. ఆ తర్వాత, చట్టబద్ధమైన నవీకరణగా స్పానిష్‌లో సమర్పించబడిన అదనపు APK ఫైల్‌ను డౌన్‌లోడ్ చేయడానికి లింక్‌ను కలిగి ఉన్న కాన్ఫిగరేషన్ ఫైల్‌ను తిరిగి పొందడానికి డ్రాపర్ దాని సర్వర్‌ను సంప్రదిస్తుంది. తదుపరి విశ్లేషణలో, కాన్ఫిగరేషన్ సర్వర్ ఆఫ్‌లైన్‌లో ఉన్నట్లు కనుగొనబడింది, ఖచ్చితమైన పేలోడ్ URL నిర్ణయించబడలేదు.

ప్రాంప్ట్‌స్పై అనేది గతంలో నమోదుకాని VNCSpy అని పిలువబడే Android ముప్పు యొక్క అధునాతన పరిణామంగా పరిగణించబడుతుంది.

ఆపాదింపు ఆధారాలు మరియు లక్ష్య నమూనాలు

భాషా కళాఖండాలు మరియు పంపిణీ విధానాల విశ్లేషణ ఈ ప్రచారం ఆర్థికంగా ప్రేరేపించబడిందని మరియు ప్రధానంగా అర్జెంటీనాలోని వినియోగదారులను లక్ష్యంగా చేసుకుంటుందని సూచిస్తుంది. అయితే, సాంకేతిక సూచికలు మాల్వేర్ చైనీస్ మాట్లాడే వాతావరణంలో అభివృద్ధి చేయబడి ఉండవచ్చని వెల్లడిస్తున్నాయి, కోడ్‌బేస్‌లో పొందుపరచబడిన సరళీకృత చైనీస్‌లో వ్రాసిన డీబగ్ స్ట్రింగ్‌ల ద్వారా ఇది రుజువు అవుతుంది.

తొలగింపు సవాళ్లు మరియు రక్షణాత్మక చిక్కులు

మాల్వేర్ అదృశ్య ఓవర్‌లేలను ఉపయోగించడం మరియు యాక్సెసిబిలిటీ దుర్వినియోగం కారణంగా, సాంప్రదాయ అన్‌ఇన్‌స్టాలేషన్ పద్ధతులు అసమర్థంగా ఉన్నాయి. విశ్వసనీయ పరిష్కార విధానం ఏమిటంటే పరికరాన్ని సేఫ్ మోడ్‌లోకి రీబూట్ చేయడం, ఇక్కడ మూడవ పక్ష అప్లికేషన్‌లు నిలిపివేయబడతాయి, దీని వలన ప్రాంప్ట్‌స్పై తీసివేయబడుతుంది.

ప్రాంప్ట్‌స్పై ఆవిర్భావం ఆండ్రాయిడ్ మాల్వేర్ డిజైన్‌లో గణనీయమైన పరిణామాన్ని నొక్కి చెబుతుంది. ఆన్-స్క్రీన్ ఎలిమెంట్‌లను అర్థం చేసుకోవడానికి మరియు ఇంటరాక్షన్ వ్యూహాలను డైనమిక్‌గా నిర్ణయించడానికి జనరేటివ్ AIని ఉపయోగించడం ద్వారా, బెదిరింపు నటులు స్టాటిక్ ఆటోమేషన్ స్క్రిప్ట్‌లతో గతంలో సాధించలేని స్థాయి అనుకూలతను పొందుతారు. దృఢమైన, హార్డ్‌కోడ్ చేయబడిన ఇంటరాక్షన్ మార్గాలపై ఆధారపడటానికి బదులుగా, మాల్వేర్ AIకి స్క్రీన్ స్నాప్‌షాట్‌ను అందిస్తుంది మరియు ప్రతిగా ఖచ్చితమైన, దశల వారీ సూచనలను అందుకుంటుంది.

ఈ అభివృద్ధి మరింత స్వయంప్రతిపత్తి, స్థితిస్థాపకత మరియు పరికర-అజ్ఞేయవాద మొబైల్ ముప్పుల వైపు మార్పును సూచిస్తుంది, ఇది కృత్రిమ మేధస్సు మరియు సైబర్ నేరాల కలయికలో ఒక ముఖ్యమైన మైలురాయిని సూచిస్తుంది.