Aa Aa Aa

Новий Android-троян використовує ШІ Google Gemini для прихованого контролю смартфонів

Новий Android-троян використовує ШІ Google Gemini для прихованого контролю смартфонів

Новий шкідливий код для Android, який, ймовірно, використовує GenAI-інструмент Google Gemini, допомагає йому зберігати персистентність на пристрої.

Виявлена шкідлива програма для Android, націлена на захоплення контролю над мобільними пристроями, імовірно використовує сервіси генеративної ШІ (GenAI) для забезпечення своєї постійної присутності на смартфоні жертви, повідомили дослідники ESET.

Основна мета нововиявленого шкідливого програмного забезпечення PromptSpy — розгорнути і запустити на пристрої жертви модуль віртуальної мережевої консолі (VNC), що дозволяє зловмисникам захоплювати дані екрану блокування, збирати інформацію про пристрій, робити знімки екрану, записувати дії і блокувати видалення. Але для цього йому необхідно спочатку встановити постійну присутність на пристрої, і саме тут в гру вступає GenAI, вказує команда ESET.

За їх словами, PromptSpy використовує вбудований сервіс Google Gemini для інтерпретації екранних елементів і надання динамічних інструкцій про те, як виконати певний жест, який дозволить йому залишатися в списку останніх додатків пристрою. Теоретично, це заважає користувачеві легко видалити його або системі — завершити його процес.

Дослідник ESET Лукаш Штефанко зазначив, що, хоча GenAI відіграє лише незначну роль у потоці виконання PromptSpy, він може мати істотний вплив на потенційну адаптивність шкідливого програмного забезпечення. «Оскільки шкідливі програми для Android часто покладаються на навігацію по користувальницькому інтерфейсу, використання генеративного ШІ дозволяє кіберзлочинцям адаптуватися практично до будь-якого пристрою, компонування або версії операційної системи, що може значно збільшити число потенційних жертв», — сказав він.

«Навіть незважаючи на те, що PromptSpy використовує Gemini тільки в одній зі своїх функцій, це все ж демонструє, як впровадження цих інструментів може зробити шкідливе ПЗ більш динамічним, надаючи кіберзлочинцям способи автоматизувати дії, які зазвичай були б ускладнені за допомогою традиційного скриптингу».

Штефанко заявив, що, судячи з ознак локалізації та векторів поширення, PromptSpy, ймовірно, керується фінансово мотивованим кіберзлочинцем, використовує брендинг Morgan Chase і, можливо, таргетує користувачів в Аргентині.

Однак він також підкреслив, що шкідлива програма ще не зустрічається в більш широкій телеметрії ESET, що може вказувати на те, що на даний момент це лише proof of concept (PoC). Він також не був помічений в магазині Google Play — його можна завантажити тільки з виділеного веб-сайту, на який жертв необхідно заманити.

Computer Weekly стало відомо, що відкриття Штефанко було передано Google через програму App Defense Alliance, і користувачі Android вже повинні бути автоматично захищені від відомих версій шкідливого програмного забезпечення сервісом Google Play Protect.

Источник: itechua.com