Στόχος του η χειραγώγηση των χρηστών

Για πρώτη φορά στην ιστορία του κυβερνοεγκλήματος, ένα κακόβουλο λογισμικό για Android δεν περιορίζεται στο να κλέβει δεδομένα αλλά εκμεταλλεύεται τη γενετική τεχνητή νοημοσύνη (Generative AI) στη ροή εκτέλεσής του.

Ερευνητές της εταιρείας κυβερνοασφάλειας ESET ανακάλυψαν το PromptSpy, ένα νέο malware που χρησιμοποιεί το ίδιο μοντέλο AI της Google (Gemini) που έχουν στην τσέπη τους εκατομμύρια χρήστες, για να χειραγωγεί αθόρυβα τη συσκευή τους: Kαταγράφει την οθόνη, παρακολουθεί τη δραστηριότητα και μπλοκάρει ακόμα και την απεγκατάστασή του.

Είναι το δεύτερο AI-powered malware που εντοπίζει η ESET μέσα σε λιγότερο από ένα χρόνο και ένα ξεκάθαρο σήμα ότι η τεχνητή νοημοσύνη έχει πλέον μπει δυναμικά στο οπλοστάσιο των κυβερνοεγκληματιών.

Οι επιτιθέμενοι βασίζονται σε προτροπές προς ένα μοντέλο τεχνητής νοημοσύνης (συγκεκριμένα το Gemini της Google) για την κακόβουλη χειραγώγηση της διεπαφής χρήστη.

Το κακόβουλο λογισμικό μπορεί να καταγράψει δεδομένα από την οθόνη κλειδώματος, να εμποδίσει προσπάθειες απεγκατάστασης, να συλλέξει πληροφορίες για τη συσκευή, να λάβει στιγμιότυπα οθόνης, να καταγράψει τη δραστηριότητα της οθόνης σε μορφή βίντεο και πολλά άλλα.

Με το όνομα της εφαρμογής να είναι MorganArg και το εικονίδιό της να φαίνεται εμπνευσμένο από την Morgan Chase, το κακόβουλο λογισμικό πιθανότατα υποδύεται την τράπεζα.

Παρότι η γενετική τεχνητή νοημοσύνη χρησιμοποιείται μόνο σε σχετικά μικρό μέρος του κώδικα του PromptSpy, συγκεκριμένα στο τμήμα που αφορά την επίτευξη ανθεκτικότητας, η συμβολή της είναι καθοριστική για την προσαρμοστικότητα του κακόβουλου λογισμικού. Ειδικότερα, το Gemini χρησιμοποιείται για να παρέχει στο PromptSpy αναλυτικές οδηγίες σχετικά με το πώς να «κλειδώσει» την κακόβουλη εφαρμογή, δηλαδή να την καρφιτσώσει στη λίστα των πρόσφατων εφαρμογών, αποτρέποντας έτσι την εύκολη διαγραφή ή τον τερματισμό της από το σύστημα. Το μοντέλο τεχνητής νοημοσύνης και η σχετική προτροπή είναι προκαθορισμένα στον κώδικα και δεν μπορούν να τροποποιηθούν.

Το PromptSpy διανέμεται μέσω εξειδικευμένης ιστοσελίδας και δεν έχει διατεθεί ποτέ στο Google Play. Ως συνεργάτης της App Defense Alliance, η ESET κοινοποίησε τα ευρήματά της στην Google. Οι χρήστες Android προστατεύονται αυτόματα από γνωστές εκδόσεις του συγκεκριμένου κακόβουλου λογισμικού μέσω του Google Play Protect, το οποίο είναι ενεργοποιημένο από προεπιλογή σε συσκευές Android που διαθέτουν Google Play Services.

Επειδή το PromptSpy εμποδίζει την απεγκατάσταση μέσω επικάλυψης αόρατων στοιχείων στην οθόνη, ο μόνος τρόπος αφαίρεσής του είναι η επανεκκίνηση της συσκευής σε ασφαλή λειτουργία. Στην ασφαλή λειτουργία οι εφαρμογές τρίτων κατασκευαστών απενεργοποιούνται, επιτρέποντας την κανονική απεγκατάστασή τους.

Αφού το τηλέφωνο επανεκκινήσει σε ασφαλή λειτουργία, ο χρήστης μπορεί να μεταβεί στις Ρυθμίσεις → Εφαρμογές → MorganArg και να το απεγκαταστήσει χωρίς εμπόδια.

Πηγή: ΑΠΕ ΜΠΕ