- تستخدم البرامج الضارة PromptSpy برنامج Gemini لأتمتة استمراريته
- تحظر البرامج الضارة الإزالة من خلال التحكم في الواجهة الموجهة بالذكاء الاصطناعي
- يقوم Gemini بتفسير بيانات الشاشة وإرجاع الإيماءات القابلة للتنفيذ
كشف خبراء الأمن عن نتائج جديدة بشأن PromptSpy، وهو برنامج ضار يعمل بنظام Android يحتوي رمزه على مطالبة محددة مسبقًا وتكوين AI يتم ترميزهما بشكل ثابت ولا يمكن تغييرهما في وقت التشغيل.
تستخدم البرامج الضارة برنامج Gemini من Google لتفسير العناصر التي تظهر على الشاشة وتقديم إرشادات خطوة بخطوة للتفاعل مع واجهة المستخدم.
من خلال إرسال لقطات XML لشاشة الجهاز إلى Gemini، يتلقى PromptSpy الإيماءات والنقرات والتمريرات الدقيقة اللازمة لإبقاء تطبيقه مثبتًا في قائمة التطبيقات الحديثة.
الثبات من خلال تفاعل الواجهة الموجه بالذكاء الاصطناعي
توضح المعلومات الجديدة من الباحثين في ESET كيف أن هذا هو أول مثيل معروف لبرمجيات Android الضارة التي تستخدم الذكاء الاصطناعي التوليدي في تدفق التنفيذ.
تبدأ سلسلة العدوى الخاصة بـ PromptSpy بتطبيق قطارة يحاكي التحديث الشرعي باللغة الإسبانية ويشجع المستخدمين على تثبيت التطبيق.
بمجرد التثبيت، تطلب الحمولة أذونات خدمة الوصول، والتي تمكن البرامج الضارة من التقاط معلومات مفصلة عن واجهة المستخدم وإجراء تفاعلات تلقائية.
باستخدام هذه البيانات، يتواصل PromptSpy باستمرار مع Gemini، ويرسل لقطات XML للشاشة ويتلقى تعليمات خطوة بخطوة لقفل نفسه في قائمة التطبيقات الحديثة.
تمنع التراكبات الشفافة على أزرار إلغاء التثبيت أو الإيقاف الإزالة العادية وتطلب من المستخدمين الدخول إلى الوضع الآمن لإلغاء تثبيت التطبيق.
تحتوي البرمجيات الخبيثة أيضًا على وحدة VNC التي تسمح للمشغلين بمراقبة الأجهزة عن بعد والتفاعل مع الواجهة، حتى تتمكن من اعتراض بيانات اعتماد شاشة القفل، وتسجيل إيماءات المستخدم، والتقاط لقطات الشاشة، والتقاط فيديو لنشاط الجهاز.
يتم تشفير الاتصال بخادم الأوامر والتحكم باستخدام AES، مما يسمح للبرامج الضارة بتلقي مفاتيح Gemini API بشكل آمن.
يستخدم جزء من التعليمات البرمجية الذكاء الاصطناعي التوليدي لتفسير سيناريوهات واجهة المستخدم وتوفير إرشادات خطوة بخطوة للحفاظ على الثبات.
تشير تفاصيل توطين هذه البرامج الضارة إلى أنه تم تطوير PromptSpy في بيئة ناطقة بالصينية – ولكن يبدو أن توزيعها استهدف المستخدمين الناطقين بالإسبانية الذين يعيشون في أمريكا الجنوبية، وتحديدًا الأرجنتين.
البرامج الضارة غير متوفرة على Google Play، لكن Google Play Protect يوفر الحماية ضد الإصدارات المعروفة.
يطلب PromptSpy أذونات خدمة الوصول، ويلتقط سياق واجهة مستخدم الجهاز، وينفذ الإجراءات في الخلفية دون إدخال المستخدم.
فهو يقفل نفسه في قائمة التطبيقات الحديثة باستخدام تعليمات الذكاء الاصطناعي من Gemini ويغطي عناصر شفافة على أزرار إلغاء التثبيت لمنع إزالة البرامج الضارة.
يمكن أن تتفاعل اتصالات شبكة البرامج الضارة مع جدران الحماية عند الاتصال بخادم الأوامر والتحكم المضمن الخاص بها.
يستخدم تطبيق القطارة شاشة تحديث زائفة باللغة الإسبانية للمطالبة بتثبيت الحمولة.
بمجرد إطلاقه، يتصل PromptSpy بخادم الأوامر والتحكم المضمن الخاص به لتلقي التعليمات، بما في ذلك مفاتيح Gemini API.
تلتقط البرامج الضارة لقطات XML لشاشة الجهاز وترسلها إلى Gemini، الذي يقوم بإرجاع تعليمات بتنسيق JSON التي تنفذها البرامج الضارة لضمان استمرارها.
اتبع TechRadar على أخبار جوجل و أضفنا كمصدر مفضل للحصول على أخبار الخبراء والمراجعات والآراء في خلاصاتك. تأكد من النقر على زر المتابعة!
وبالطبع يمكنك أيضًا اتبع TechRadar على TikTok للحصول على الأخبار والمراجعات وفتح الصناديق في شكل فيديو، والحصول على تحديثات منتظمة منا على واتساب أيضاً.
التعليقات