PromptSpy Android Kötü Amaçlı Yazılımı
Siber güvenlik araştırmacıları, Google'ın üretken yapay zekâ sohbet robotu Gemini'yi operasyonel iş akışının bir parçası olarak silahlandıran ilk Android kötü amaçlı yazılımını tespit etti. PromptSpy adı verilen yeni keşfedilen tehdit, yapay zekâ destekli karar verme mekanizmasını yürütme zincirine ve kalıcılık stratejisine entegre ediyor.
PromptSpy, kapsamlı gözetim ve kontrol yetenekleriyle tasarlanmıştır. İşlevleri arasında kilit ekranı kimlik bilgilerini toplama, kaldırma girişimlerini engelleme, ayrıntılı cihaz bilgilerini toplama, ekran görüntüleri yakalama ve ekran etkinliğini video olarak kaydetme yer almaktadır. Kötü amaçlı yazılımın birincil amacı, saldırganlara ele geçirilen cihazlara uzaktan erişim sağlayan gömülü bir Sanal Ağ Hesaplama (VNC) modülü dağıtmaktır.
İçindekiler
Otomasyon Motoru Olarak Yapay Zeka: Gemini Kalıcılığı Nasıl Sağlıyor?
Önceden tanımlanmış kullanıcı arayüzü (UI) gezinme yollarına dayanan geleneksel Android kötü amaçlı yazılımlarının aksine, PromptSpy, cihaz ekranlarını dinamik olarak yorumlamak ve bunlarla etkileşim kurmak için üretken yapay zekadan yararlanır. Sabit kodlanmış bir yapay zeka modeli ve komut istemi yerleştirerek, kötü amaçlı yazılım yapay zeka ajanına 'Android otomasyon asistanı' rolünü atar.
Bulaşma süreci, Gemini'ye doğal dil içeren bir komut istemi ve mevcut ekranın XML dökümünün iletilmesini içerir. Bu XML dosyası, metin etiketleri, öğe türleri ve ekrandaki tam koordinatlar da dahil olmak üzere her bir kullanıcı arayüzü bileşeni hakkında ayrıntılı veriler içerir. Gemini, girdiyi işler ve kötü amaçlı yazılıma hangi eylemleri gerçekleştireceğini (örneğin belirli kullanıcı arayüzü öğelerine dokunmak gibi) ve bunları nerede yürüteceğini belirten yapılandırılmış JSON talimatları döndürür.
Bu çok adımlı yapay zeka destekli etkileşim, kötü amaçlı uygulamanın son kullanılan uygulamalar listesine başarıyla sabitlenmesine kadar devam eder. Bu durumda kilitli kalarak, uygulama kaydırılarak kapatılmaya veya işletim sistemi tarafından sonlandırılmaya direnç gösterir ve böylece kalıcılık sağlar. Yapay zeka kullanımı, önceden belirlenmiş dokunma dizilerine olan bağımlılığı ortadan kaldırarak, kötü amaçlı yazılımın farklı cihazlara, düzenlere ve Android sürümlerine sorunsuz bir şekilde uyum sağlamasına ve potansiyel kurban tabanını önemli ölçüde genişletmesine olanak tanır.
Erişilebilirlik İstismarı ve Uzaktan Kontrol Altyapısı
PromptSpy, Android'in erişilebilirlik hizmetlerinden yararlanarak, kullanıcı etkileşimi olmadan yapay zeka tarafından oluşturulan talimatları yürütür. Bu hizmetler aracılığıyla, cihaz arayüzünü programatik olarak manipüle edebilir ve gizli kalabilir.
Operasyonel yetenekleri şunları içerir:
- Kilit ekranı PIN kodlarını, şifreleri ve desen kilidi girişlerini ele geçirme
- İsteğe bağlı olarak ekran görüntüleri yakalama ve ekran etkinliğini kaydetme
- Görünmez kullanıcı arayüzü öğelerini üst üste bindirerek kaldırma girişimlerini engelleme
- Gömülü bir VNC modülü aracılığıyla uzaktan erişimin kurulması
Kötü amaçlı yazılım, VNC protokolünü kullanarak '54.67.2.84' adresindeki önceden tanımlanmış bir Komuta ve Kontrol (C2) sunucusuyla iletişim kurar. Ayrıca bu sunucudan Gemini API anahtarını alarak yapay zeka destekli işlemlerin devam etmesini sağlar. Kullanıcıların uygulamayı kaldırma girişimlerini engellemek için görünmez katmanlar kullanılır ve bu da kurbanları, belirli düzeltici adımlar atılmadığı sürece tuzağa düşürür.
Bulaşma Zinciri ve Sosyal Mühendislik Taktikleri
PromptSpy, Google Play gibi resmi uygulama mağazaları aracılığıyla dağıtılmıyor. Bunun yerine, bir yükleyici uygulama sağlayan 'mgardownload(dot)com' adlı özel bir kötü amaçlı web sitesi üzerinden dağıtılıyor. Yüklendikten ve çalıştırıldıktan sonra, yükleyici kurbanları 'm-mgarg(dot)com' adlı başka bir siteye yönlendiriyor.
Operasyon, Morgan Argentina'ya atıfta bulunan 'MorganArg' adı altında JPMorgan Chase kılığına bürünüyor. Kurbanlar, bilinmeyen kaynaklardan uygulama yükleme izni vermeleri için sosyal mühendislik yöntemleriyle kandırılıyor. Ardından, zararlı yazılım sunucusuna bağlanarak, İspanyolca olarak meşru bir güncelleme gibi sunulan ek bir APK dosyasını indirme bağlantısı içeren bir yapılandırma dosyası alıyor. Daha sonraki analizlerde, yapılandırma sunucusunun çevrimdışı olduğu tespit edildi ve bu da tam zararlı yazılım URL'sinin belirlenememesine yol açtı.
PromptSpy, daha önce belgelenmemiş bir Android tehdidi olan VNCSpy'ın gelişmiş bir versiyonu olarak kabul ediliyor.
İlişkilendirme İpuçları ve Hedefleme Kalıpları
Dilsel unsurların ve dağıtım mekanizmalarının analizi, kampanyanın finansal motivasyonlu olduğunu ve öncelikle Arjantin'deki kullanıcıları hedef aldığını göstermektedir. Bununla birlikte, teknik göstergeler, kod tabanına gömülü basitleştirilmiş Çince yazılmış hata ayıklama dizelerinden de anlaşıldığı üzere, kötü amaçlı yazılımın büyük olasılıkla Çince konuşulan bir ortamda geliştirildiğini ortaya koymaktadır.
Kaldırma Zorlukları ve Savunma Açısından Etkileri
Kötü amaçlı yazılımın görünmez katmanlar kullanması ve erişilebilirlik sorunlarını kötüye kullanması nedeniyle, geleneksel kaldırma yöntemleri etkisizdir. Tek güvenilir çözüm, cihazı Güvenli Mod'da yeniden başlatmaktır; bu modda üçüncü taraf uygulamalar devre dışı bırakılır ve PromptSpy'ın kaldırılmasına olanak tanır.
PromptSpy'ın ortaya çıkışı, Android kötü amaçlı yazılım tasarımında önemli bir evrimi vurguluyor. Ekrandaki öğeleri yorumlamak ve etkileşim stratejilerini dinamik olarak belirlemek için üretken yapay zekayı kullanarak, tehdit aktörleri, statik otomasyon komut dosyalarıyla daha önce ulaşılamayan bir uyarlanabilirlik düzeyi kazanıyor. Kötü amaçlı yazılım, katı, önceden kodlanmış etkileşim yollarına güvenmek yerine, yapay zekaya yalnızca bir ekran görüntüsü sağlıyor ve karşılığında kesin, adım adım talimatlar alıyor.
Bu gelişme, daha otonom, dayanıklı ve cihazdan bağımsız mobil tehditlere doğru bir kaymayı işaret ediyor ve yapay zeka ile siber suçun yakınlaşmasında endişe verici bir dönüm noktası oluşturuyor.
