Üretken yapay zeka kullanan yeni nesil Android kötü amaçlı yazılımı Arjantin'i hedef alıyor

ESET Araştırma ekibi, yürütme akışının bir parçası olarak üretken yapay zekayı kötüye kullanan bilinen ilk Android kötü amaçlı yazılımı olan PromptSpy'ı keşfetti. Bu yazılım, öncelikle MorganArg adlı bir uygulama aracılığıyla Arjantin'deki kullanıcıları hedef alıyor.

ESET Araştırma ekibinden araştırmacılar, bağlama dayalı olarak kullanıcı arayüzünü manipüle etmek için üretken yapay zekayı kötüye kullanan bilinen ilk Android kötü amaçlı yazılım vakasını keşfetti. Makine öğrenimi daha önce benzer amaçlar için kullanılmış olsa da (Dr.WEB araştırmacıları yakın zamanda, reklam ekran görüntülerini analiz etmek ve büyük ölçekli reklam sahtekarlığı yapmak için algılanan öğelere otomatik olarak tıklamak üzere TensorFlow makine öğrenimi modellerini kullanan Android.Phantom'u keşfetti ), üretken yapay zekanın bu şekilde kullanıldığını ilk kez görüyoruz. Saldırganlar, kötü amaçlı arayüz manipülasyonunu yönlendirmek için bir yapay zeka modeline (bu durumda Google'ın Gemini'si) talimatlar vermeye güvendikleri için, bu aileye PromptSpy adını verdik. Bu, Ağustos 2025'te ilk bilinen yapay zeka tabanlı fidye yazılımı vakası olan PromptLock'tan sonra keşfettiğimiz ikinci yapay zeka tabanlı kötü amaçlı yazılım.

PromptSpy'ın kodunun nispeten küçük bir bölümünde (özellikle kalıcılığı sağlamaktan sorumlu kısımda) üretken yapay zeka kullanılsa da, bu durum kötü amaçlı yazılımın uyarlanabilirliği üzerinde önemli bir etkiye sahiptir. Özellikle, Gemini, mevcut ekranı analiz etmek ve PromptSpy'a kötü amaçlı uygulamanın son uygulamalar listesinde sabit kalmasını sağlamak için adım adım talimatlar vermek için kullanılır; böylece sistemin onu kolayca kaldırması engellenir. Yapay zeka modeli ve uyarı mesajı kodda önceden tanımlanmıştır ve değiştirilemez. Android kötü amaçlı yazılımları genellikle kullanıcı arayüzü navigasyonuna dayandığından, üretken yapay zekadan yararlanmak, tehdit aktörlerinin neredeyse her cihaza, düzene veya işletim sistemi sürümüne uyum sağlamasına olanak tanır ve bu da potansiyel kurban havuzunu büyük ölçüde genişletebilir.

PromptSpy'ın birincil amacı, entegre bir VNC modülü dağıtarak kötü amaçlı yazılım operatörlerine kurbanın cihazına uzaktan erişim sağlamaktır. Bu Android kötü amaçlı yazılımı ayrıca, görünmez katmanlarla kaldırmayı engellemek için Erişilebilirlik Hizmetini kötüye kullanır, kilit ekranı verilerini yakalar ve video kaydeder. Komuta ve kontrol sunucusuyla VNC protokolü üzerinden AES şifrelemesi kullanarak iletişim kurar.

Dil bazında yerelleştirme ve analiz sırasında gözlemlenen dağıtım vektörlerine dayanarak, bu kampanyanın finansal motivasyonlu olduğu ve öncelikle Arjantin'deki kullanıcıları hedeflediği anlaşılıyor. İlginç bir şekilde, analiz edilen PromptSpy örnekleri, kampanyanın Çince konuşulan bir ortamda geliştirildiğini gösteriyor.

PromptSpy, özel bir web sitesi aracılığıyla dağıtılmaktadır ve hiçbir zaman Google Play'de bulunmamıştır. Bununla birlikte, Uygulama Savunma İttifakı'nın ortakları olarak bulgularımızı Google ile paylaştık. Android kullanıcıları, Google Play Hizmetleri'ne sahip Android cihazlarda varsayılan olarak etkinleştirilen Google Play Protect tarafından bu kötü amaçlı yazılımın bilinen sürümlerine karşı otomatik olarak korunmaktadır.

Yorumlar