Un malware pentru Android, denumit PromptSpy, utilizează tehnologia AI pentru a interpreta și naviga interfața utilizatorului, reducând limitările metodelor clasice de control. Deși momentan nu există indicii despre o campanie extinsă, cercetătorii atrag atenția asupra potențialului său de evoluție și adaptabilitate.
Mod de funcționare și utilizarea modelului Gemini
PromptSpy folosește modelul Gemini pentru a procesa imaginea ecranului în timp real și pentru a trimite instrucțiuni în format JSON, bazate pe un prompt în limbaj natural și un dump XML al afișajului. Malware-ul trimite aceste date către Gemini, care analizează și răspunde cu acțiuni precise pentru menținerea în lista de aplicații recent utilizate. Această metodă permite malware-ului să se adapteze la variațiile diferitelor modele de telefoane și versiuni Android.
Diferențe față de malware clasic bazat pe coordonate fixe
Traditionally, malware-ul Android folosește coordonate și secvențe fixe pentru a interacționa cu UI-ul, ceea ce face sistemele vulnerabile la diferențele de rezoluție și layout. PromptSpy depășește aceste limitări prin interpretare contextuală, trimițând prompturi în limbaj natural și analizând răspunsurile AI pentru a executa acțiuni adaptate fiecărui dispozitiv.
Capacitățile practic ale malware-ului
PromptSpy poate intercepta PIN-uri și parole de ecran, înregistra și captura ecranul de deblocare, precum și gesturile utilizatorului. Malware-ul poate face și capturi video ale ecranului și poate plasa suprapuneri invizibile peste elementele de interfață pentru a împiedica dezinstalarea sau închiderea aplicației. Pentru eliminare, dispozitivul trebuie repornit în modul Safe Mode, unde aplicatia se poate dezinstala mai ușor.
Stadiul actual al amenințării
În prezent, PromptSpy nu a fost găsit în telemetria ESET și nu pare să se răspândească pe scară largă. Mostre identificate pe VirusTotal în ianuarie provin din Argentina și indică o dezvoltare inițială, cu posibilă influență chineză. Nu există o confirmare clară despre o campanie de amploare în desfășurare, dar analiza codului sugerează o posibilă origine criminalistică și o eventuală intenție de distribuție în viitor.
Este un proof of concept sau începutul unei campanii reale?
Există îndoieli dacă PromptSpy reprezintă o amenințare reală sau un proiect de cercetare. Comparabil cu cazul PromptLock, considerat inițial real, dar ulterior confirmat ca fiind un proiect de test, PromptSpy poate fi un prototip. Analizele arată că nu a fost încă operativ pe scară largă, dar există indicii de infrastructură care imită site-uri bancare, sugerează o intenție de distribuție.
Potencialul de evoluție a malware-ului
Folosirea AI în navigarea UI-ului îmbunătățește flexibilitatea și reduce costurile de dezvoltare a malware-ului. Acesta poate funcționa pe mai multe dispozitive și versiuni Android, fără a necesita actualizări frecvente. Asta indică o direcție tehnică în care atacatorii pot crea platforme malware adaptabile și mai eficiente, dacă tehnologia va fi folosită în mod continuu și rafinat.
Capabilități de control și colectare de date
PromptSpy poate intercepta și înregistra parole și PIN-uri, captura imagini și înregistrări video ale ecranului, precum și gesturile utilizatorului. Împiedică dezinstalarea aplicației prin suprapuneri invizibile și complică eliminarea, fiind necesar revertirea în Safe Mode pentru dezinstalare. Funcțiile de monitorizare pot colecta date critice, facilitând compromiterea telemetriei și confidențialității.
Context și perspective
Deși în prezent nu se remarcă o răspândire semnificativă a PromptSpy, descoperirile indică faptul că tehnologia AI poate fi utilizată pentru a dezvolta malware mai adaptabil și mai eficient. Rămâne de urmărit dacă va fi integrat în campanii directe sau dacă reprezintă o etapă de testare tehnologică.
Recomandări pentru utilizatori
Este recomandat să se evite instalarea aplicațiilor din surse necunoscute, întrucât PromptSpy nu se găsește pe Google Play. În cazul în care apar comportamente suspecte, precum butoane care nu răspund sau dificultăți în închiderea aplicațiilor, utilizatorii trebuie să trateze situația ca pe un incident de securitate. Pentru verificare, repornirea telefonului în Safe Mode poate fi un pas esențial pentru eliminarea malware-ului.
Un astfel de prototip evidențiază pericolul ca atacatorii să adapteze și să rafineze malware-ul utilizând AI-ul pentru a spori eficiența și acoperirea pe dispozitive Android.