มัลแวร์ PromptSpy สำหรับ Android
นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ระบุสิ่งที่เชื่อว่าเป็นมัลแวร์ Android ตัวแรกที่ใช้ Gemini ซึ่งเป็นแชทบอทปัญญาประดิษฐ์แบบสร้างสรรค์ของ Google เป็นส่วนหนึ่งของกระบวนการทำงาน ภัยคุกคามที่เพิ่งค้นพบนี้มีชื่อว่า PromptSpy โดยได้ผสานการตัดสินใจที่ขับเคลื่อนด้วย AI เข้ากับห่วงโซ่การทำงานและกลยุทธ์การคงอยู่ของมัน
PromptSpy ถูกออกแบบมาพร้อมความสามารถในการสอดส่องและควบคุมอย่างครอบคลุม ฟังก์ชันการทำงานของมันรวมถึงการเก็บรวบรวมข้อมูลประจำตัวหน้าจอล็อก การบล็อกความพยายามในการถอนการติดตั้ง การรวบรวมข้อมูลอุปกรณ์โดยละเอียด การจับภาพหน้าจอ และการบันทึกกิจกรรมบนหน้าจอเป็นวิดีโอ เป้าหมายหลักของมัลแวร์นี้คือการติดตั้งโมดูล Virtual Network Computing (VNC) แบบฝังตัว เพื่อให้ผู้โจมตีสามารถเข้าถึงอุปกรณ์ที่ถูกบุกรุกจากระยะไกลได้
สารบัญ
AI ในฐานะเครื่องมืออัตโนมัติ: Gemini ช่วยให้การทำงานต่อเนื่องได้อย่างไร
แตกต่างจากมัลแวร์ Android แบบดั้งเดิมที่อาศัยเส้นทางการนำทางส่วนติดต่อผู้ใช้ (UI) ที่กำหนดไว้ล่วงหน้า PromptSpy ใช้ปัญญาประดิษฐ์ (AI) แบบสร้างสรรค์เพื่อตีความและโต้ตอบกับหน้าจออุปกรณ์แบบไดนามิก โดยการฝังโมเดล AI และข้อความแจ้งเตือนที่เขียนโค้ดไว้ล่วงหน้า มัลแวร์จะกำหนดบทบาทให้ตัวแทน AI เป็น 'ผู้ช่วยอัตโนมัติของ Android'
กระบวนการแพร่ระบาดเกี่ยวข้องกับการส่งข้อความภาษาธรรมชาติไปยัง Gemini พร้อมกับไฟล์ XML ที่บันทึกข้อมูลหน้าจอปัจจุบัน ไฟล์ XML นี้มีข้อมูลเชิงลึกเกี่ยวกับส่วนประกอบ UI แต่ละส่วน รวมถึงป้ายข้อความ ประเภทขององค์ประกอบ และพิกัดบนหน้าจอที่แน่นอน Gemini จะประมวลผลข้อมูลและส่งคำสั่ง JSON ที่มีโครงสร้างกลับมา เพื่อสั่งการให้มัลแวร์ดำเนินการต่างๆ เช่น การแตะองค์ประกอบ UI เฉพาะ และตำแหน่งที่จะดำเนินการ
กระบวนการโต้ตอบแบบหลายขั้นตอนที่ควบคุมด้วย AI นี้จะดำเนินต่อไปจนกว่าแอปพลิเคชันที่เป็นอันตรายจะถูกตรึงไว้ในรายการแอปที่ใช้งานล่าสุดได้สำเร็จ การที่แอปอยู่ในสถานะล็อกเช่นนี้ ทำให้แอปไม่สามารถถูกปัดออกหรือถูกปิดโดยระบบปฏิบัติการได้ จึงทำให้แอปนั้นคงอยู่ได้ การใช้ AI ช่วยลดการพึ่งพาการแตะตามลำดับที่กำหนดไว้ล่วงหน้า ทำให้มัลแวร์สามารถปรับตัวให้เข้ากับอุปกรณ์ รูปแบบ และเวอร์ชัน Android ต่างๆ ได้อย่างราบรื่น ซึ่งช่วยขยายฐานเหยื่อที่เป็นไปได้ให้กว้างขึ้นอย่างมาก
การละเมิดการเข้าถึงและโครงสร้างพื้นฐานการควบคุมระยะไกล
PromptSpy ใช้ประโยชน์จากบริการการเข้าถึงของ Android เพื่อดำเนินการตามคำสั่งที่สร้างโดย AI โดยไม่ต้องมีการโต้ตอบจากผู้ใช้ ผ่านบริการเหล่านี้ มันสามารถจัดการอินเทอร์เฟซของอุปกรณ์ได้โดยใช้โปรแกรม ในขณะที่ยังคงซ่อนตัวอยู่
ขีดความสามารถในการปฏิบัติงานประกอบด้วย:
- การดักจับรหัส PIN รหัสผ่าน และรูปแบบการปลดล็อกหน้าจอ
- การจับภาพหน้าจอและการบันทึกกิจกรรมบนหน้าจอตามต้องการ
- ป้องกันความพยายามในการลบโดยการซ้อนทับองค์ประกอบ UI ที่มองไม่เห็น
- การสร้างการเข้าถึงระยะไกลผ่านโมดูล VNC ในตัว
มัลแวร์สื่อสารกับเซิร์ฟเวอร์ควบคุมและสั่งการ (C2) ที่กำหนดไว้ล่วงหน้า ณ ที่อยู่ '54.67.2.84' โดยใช้โปรโตคอล VNC นอกจากนี้ยังดึงคีย์ API ของ Gemini จากเซิร์ฟเวอร์นี้ เพื่อให้สามารถดำเนินการด้วย AI ต่อไปได้ มีการใช้โอเวอร์เลย์ที่มองไม่เห็นเพื่อขัดขวางความพยายามของผู้ใช้ในการถอนการติดตั้งแอป ทำให้เหยื่อติดกับดักเว้นแต่จะดำเนินการแก้ไขตามขั้นตอนที่กำหนด
ห่วงโซ่การติดเชื้อและกลยุทธ์วิศวกรรมทางสังคม
PromptSpy ไม่ได้เผยแพร่ผ่านแอปสโตร์อย่างเป็นทางการ เช่น Google Play แต่จะถูกส่งผ่านเว็บไซต์ที่เป็นอันตรายโดยเฉพาะ 'mgardownload(dot)com' ซึ่งมีแอปพลิเคชันตัวติดตั้ง เมื่อติดตั้งและเรียกใช้งานแล้ว แอปพลิเคชันตัวติดตั้งจะเปลี่ยนเส้นทางเหยื่อไปยังเว็บไซต์อื่น 'm-mgarg(dot)com'
การโจรกรรมข้อมูลนี้ปลอมตัวเป็น JPMorgan Chase โดยใช้ชื่อว่า 'MorganArg' ซึ่งหมายถึง Morgan Argentina เหยื่อจะถูกหลอกล่อให้ยินยอมติดตั้งแอปพลิเคชันจากแหล่งที่ไม่รู้จัก หลังจากนั้น ตัวมัลแวร์จะติดต่อเซิร์ฟเวอร์เพื่อดึงไฟล์การกำหนดค่าที่มีลิงก์สำหรับดาวน์โหลดไฟล์ APK เพิ่มเติม ซึ่งแสดงเป็นภาษาสเปนในลักษณะของการอัปเดตที่ถูกต้อง ในระหว่างการวิเคราะห์ในภายหลัง พบว่าเซิร์ฟเวอร์การกำหนดค่าออฟไลน์ ทำให้ไม่สามารถระบุ URL ของไฟล์มัลแวร์ได้อย่างแน่ชัด
PromptSpy ถือเป็นวิวัฒนาการขั้นสูงของภัยคุกคามบนระบบ Android ที่ไม่เคยมีการบันทึกมาก่อน ซึ่งรู้จักกันในชื่อ VNCSpy
เบาะแสในการระบุแหล่งที่มาและรูปแบบการกำหนดเป้าหมาย
การวิเคราะห์หลักฐานทางภาษาและกลไกการเผยแพร่ชี้ให้เห็นว่าแคมเปญนี้มีแรงจูงใจทางการเงินและมุ่งเป้าไปที่ผู้ใช้ในอาร์เจนตินาเป็นหลัก อย่างไรก็ตาม ตัวชี้วัดทางเทคนิคเผยให้เห็นว่ามัลแวร์น่าจะถูกพัฒนาขึ้นในสภาพแวดล้อมที่ใช้ภาษาจีน ดังที่เห็นได้จากสตริงดีบักที่เขียนด้วยภาษาจีนตัวย่อซึ่งฝังอยู่ในโค้ดเบส
ความท้าทายในการกำจัดและผลกระทบด้านการป้องกัน
เนื่องจากมัลแวร์ใช้การซ้อนทับที่มองไม่เห็นและการละเมิดการเข้าถึง วิธีการถอนการติดตั้งแบบเดิมจึงไม่ได้ผล วิธีการแก้ไขที่ได้ผลเพียงวิธีเดียวคือการรีบูตอุปกรณ์เข้าสู่ Safe Mode ซึ่งจะปิดใช้งานแอปพลิเคชันของบุคคลที่สาม ทำให้สามารถลบ PromptSpy ออกได้
การปรากฏตัวของ PromptSpy เน้นย้ำถึงวิวัฒนาการที่สำคัญในการออกแบบมัลแวร์ Android โดยการใช้ AI แบบสร้างสรรค์เพื่อตีความองค์ประกอบบนหน้าจอและกำหนดกลยุทธ์การโต้ตอบแบบไดนามิก ผู้โจมตีจึงได้รับความสามารถในการปรับตัวในระดับที่ไม่เคยมีมาก่อนด้วยสคริปต์อัตโนมัติแบบคงที่ แทนที่จะพึ่งพาเส้นทางการโต้ตอบที่ตายตัวและกำหนดไว้ล่วงหน้า มัลแวร์เพียงแค่ส่งภาพหน้าจอให้กับ AI และรับคำสั่งทีละขั้นตอนที่แม่นยำกลับมา
การพัฒนาครั้งนี้บ่งชี้ถึงการเปลี่ยนแปลงไปสู่ภัยคุกคามบนมือถือที่มีความเป็นอิสระ ยืดหยุ่น และไม่ขึ้นอยู่กับอุปกรณ์ใด ๆ ซึ่งถือเป็นก้าวสำคัญที่น่าเป็นห่วงในการบรรจบกันของปัญญาประดิษฐ์และอาชญากรรมไซเบอร์
