PromptSpy este primul malware Android cunoscut care utilizează AI generativ
Sursă: https://www.bleepingcomputer.com
Specialiștii au descoperit primul malware Android cunoscut care utilizează AI generativ în fluxul său de executare, folosind modelul Gemini al Google pentru a-și adapta persistența pe diferite dispozitive.
În cadrul unui raport, un specialist în securitate a explicat modul în care o nouă familie de malware pentru Android numită PromptSpy abuzează de modelul Google Gemini AI pentru a-și asigura persistența pe dispozitivele infectate.
Deși modelele de învățare automată au fost utilizate anterior de malware-ul Android pentru a analiza capturi de ecran în scopul fraudei publicitare, PromptSpy este primul caz cunoscut de malware Android care integrează AI generativ direct în execuția sa.
Pe unele dispozitive Android, utilizatorii pot bloca sau fixa o aplicație în lista Aplicații recente apăsând lung pe ea și selectând o opțiune de blocare. Când o aplicație este blocată în acest mod, Android este mai puțin probabil să o închidă în timpul golirii memoriei sau când utilizatorul apasă Ștergeți tot.
Pentru aplicațiile legitime, acest lucru împiedică închiderea proceselor din fundal. Pentru malware-ul precum PromptSpy, acesta poate servi ca mecanism de persistență.
Cu toate acestea, metoda utilizată pentru a bloca sau fixa o aplicație variază de la un dezvoltator la altul, ceea ce face dificil pentru malware să scrie scriptul corect pentru a face acest lucru pe fiecare dispozitiv. Aici intervine AI.
PromptSpy trimite modelului Gemini al Google o solicitare de chat împreună cu un dump XML al ecranului curent, inclusiv elementele UI vizibile, etichetele text, tipurile de clase și coordonatele ecranului.
Gemini răspunde apoi cu instrucțiuni în format JSON care descriu acțiunea care trebuie întreprinsă pe dispozitiv pentru a fixa aplicația.
Malware-ul execută acțiunea prin intermediul serviciului de accesibilitate Android, recuperează starea actualizată a ecranului și o trimite înapoi către Gemini într-o buclă până când AI confirmă că aplicația a fost blocată cu succes în lista aplicațiilor recente.
Deși utilizarea unui AI LLM pentru modificări ale comportamentului în timpul rulării este o noutate, funcționalitatea principală a PromptSpy este aceea de a acționa ca spyware.
Malware-ul include un modul VNC încorporat care permite atacatorilor să obțină acces complet de la distanță la dispozitivele cărora li s-au acordat permisiuni de accesibilitate.
Pentru a complica eliminarea, atunci când utilizatorii încearcă să dezinstaleze aplicația sau să dezactiveze permisiunile de accesibilitate, malware-ul suprapune dreptunghiuri transparente și invizibile peste butoanele interfeței utilizatorului care afișează șiruri de caractere precum oprire, terminare, ștergere și dezinstalare.
Când un utilizator apasă butonul pentru a opri sau dezinstala aplicația, acesta va apăsa în schimb butonul invizibil, care blochează eliminarea.
Specialiștii semnalează că utilizatorii trebuie să repornească dispozitivul în modul Android Safe Mode, astfel încât aplicațiile terțe să fie dezactivate și să nu poată bloca dezinstalarea malware-ului.
Deși distribuția acestui malware pare foarte limitată, ea demonstrează modul în care atacatorii utilizează AI generativ nu numai pentru a crea atacuri și site-uri de phishing, ci și pentru a modifica comportamentul malware-ului în timp real.
Sursă: https://www.bleepingcomputer.com/news/security/promptspy-is-the-first-known-android-malware-to-use-generative-ai-at-runtime/
