پژوهشگران شرکت ESET یک بدافزار اندروید به نام PromptSpy را شناسایی کردهاند که به عنوان اولین نمونه، از هوش مصنوعی مولد (Generative AI) در زمان اجرا بهره میبرد.
این بدافزار با نصب یک ماژول VNC روی دستگاههای آلوده، به مهاجمان امکان مشاهده صفحه دستگاه و کنترل کامل اندروید قربانی را میدهد.
عملکردهای مخرب PromptSpy
بدافزار PromptSpy قادر است فعالیتهای مخرب زیر را روی دستگاههای اندرویدی انجام دهد:
- جمعآوری اطلاعات دستگاه
- ثبت PIN یا رمز عبور صفحه قفل
- ضبط صفحه برای استخراج الگوی باز کردن دستگاه
- گرفتن اسکرینشات
روش نوآورانه حفظ پایداری PromptSpy با Gemini AI
بدافزار PromptSpy برای حفظ پایداری روی دستگاههای اندروید، از یک مکانیزم نوین در زمان اجرا استفاده میکند:
- بدافزار یک Prompt به چتبات Gemini AI گوگل ارسال میکند و همزمان یک فایل XML شامل جزئیات المنتهای رابط کاربری (UI Elements) روی صفحه از جمله نوع، متن و موقعیت هر المنت میفرستد.
- Gemini اطلاعات را پردازش کرده و دستوراتی به فرمت JSON برای PromptSpy ارسال میکند تا مشخص شود در کدام نقاط صفحه باید ضربه زده یا سوایپ شود. این اقدامات باعث میشود بدافزار در فهرست برنامههای اخیر (Recent Apps) باقی مانده و پس از راهاندازی مجدد دستگاه (Reboot) نیز فعال بماند.
- بدافزار با سوءاستفاده از Accessibility Services اندروید، حرکات پیشنهادی AI را اجرا میکند.
پژوهشگران ESET توضیح میدهند: «بدافزار PromptSpy تاریخچه Promptهای قبلی و پاسخهای Gemini را ذخیره میکند تا هوش مصنوعی بتواند تعاملات چندمرحلهای و پیچیده را هماهنگ کرده و موقعیت خود را در دستگاه حفظ کند.»
با این مکانیزم، PromptSpy حتی پس از راهاندازی مجدد دستگاه نیز حضور و کنترل خود را حفظ کرده و مانع از حذف توسط کاربر میشود.
سوءاستفاده از Accessibility Services برای جلوگیری از حذف
PromptSpy برای جلوگیری از حذف شدن، بهطور مستقیم از Accessibility Services سوءاستفاده میکند:
- بدافزار هنگام تلاش برای حذف یا غیرفعال کردن سرویس، لایههای شفاف (Transparent Overlay) روی دکمههای حساس ایجاد میکند.
- این لایهها معمولاً روی دکمههایی با عبارات Stop، End، Clear و Uninstall قرار دارند و لمس کاربر را رهگیری میکنند.
- تنها راه حذف بدافزار، راهاندازی دستگاه در حالت Safe Mode است، جایی که برنامههای شخص ثالث غیرفعال شده و کاربر میتواند بدافزار را حذف کند.
توزیع و منشاء بدافزار PromptSpy
تاکنون هیچ نشانهای از انتشار واقعی بدافزار PromptSpy مشاهده نشده و احتمالاً این بدافزار مشابه باجافزار PromptLock منتشر شده در سال گذشته، در قالب یک نمونه اثبات مفهوم (PoC) طراحی شده است.
تحلیلهای شرکت امنیتی ESET نشان میدهد، یک دامنه مرتبط با توزیع بدافزار در آرژانتین شناسایی شده است که ممکن است برای انتشار این بدافزار مورد استفاده قرار گیرد.
شواهد نشان میدهد توسعهدهندگان این بدافزار چینی هستند. با این حال، تاکنون هیچ گروه تهدید مشخصی مسئول انتشار آن شناسایی نشده و ESET تنها با اعتماد متوسط این نسبتدهی را اعلام کرده است.
جمعبندی Vulnerbyte
بدافزار PromptSpy نمونهای پیشرفته از سوءاستفاده از هوش مصنوعی مولد برای حفظ پایداری و جلوگیری از حذف روی دستگاههای اندروید است. هرچند انتشار گستردهای گزارش نشده است اما این تهدید روند خطرناک ترکیب AI و بدافزار موبایلی را نشان میدهد که کاربران و سازمانها باید به دقت آن را زیر نظر داشته باشند.
