Android cihazları hedef alan yeni bir zararlı yazılım tespit edildi. PromptSpy adı verilen bu yazılım çalışma sürecinde üretken yapay zeka kullanan ilk Android tehdidi olarak kayıtlara geçti. Zararlı yazılım Google’ın Gemini modelinden aldığı talimatlarla cihaz ekranındaki öğeleri yorumlayıp belirli hareketleri otomatik olarak gerçekleştiriyor.
PromptSpy telefona uzaktan erişim sağlıyor, ekranı kaydedebiliyor
PromptSpy’ın temel amacı cihazın içine bir VNC modülü yerleştirmek. Bu modül sayesinde saldırganlar kurbanın telefon ekranını görebiliyor ve uzaktan işlem yapabiliyor.
Zararlı yazılım ekran görüntüsü alabiliyor, ekranı video olarak kaydedebiliyor, cihaz bilgilerini toplayabiliyor ve kilit ekranı verilerini ele geçirebiliyor. Ayrıca görünmez katmanlar kullanarak uygulamanın kaldırılmasını engelliyor.
PromptSpy, Android’de çoklu görev ekranında uygulamayı kilitli uygulamalar listesinde tutabilmek için üretken yapay zekadan yararlanıyor. Gemini modeli, zararlı yazılıma uygulamayı son uygulamalar listesinde sabitlemek için hangi dokunma hareketlerinin yapılması gerektiğini adım adım tarif ediyor.
Böylece uygulama sistem tarafından kapatılamıyor ve arka planda çalışmaya devam ediyor. Kod içinde kullanılan yapay zeka modeli ve komutlar önceden tanımlı ve değiştirilemiyor.
Zararlı yazılım cihazla iletişimini AES şifreleme üzerinden komuta-kontrol sunucusuyla gerçekleştiriyor. Ayrıca Android’in Erişilebilirlik Hizmetleri’ni kullanarak kaldırma girişimlerini engelliyor.
Araştırmacılar üretken yapay zeka kullanımının saldırganların farklı telefon modelleri, arayüzler ve Android sürümlerine uyum sağlamasını kolaylaştırdığını belirtiyor.
PromptSpy’ın finansal motivasyonla hazırlandığı ve tüm dünya için tehlikeli olsa da şuan özellikle Arjantin’deki kullanıcıları hedef aldığı değerlendiriliyor. MorganArg adıyla dağıtılan zararlı yazılımın simgesi Morgan Chase bankasını taklit ediyor.
Dağıtım özel bir internet sitesi üzerinden yapılıyor ve hiçbir zaman Google Play’de yayınlanmadı. Bulgular Google ile paylaşıldı. Google Play Protect, bilinen sürümlere karşı Android cihazlarda varsayılan olarak koruma sağlıyor. PromptSpy’da yapay zeka yalnızca kalıcılığı sağlamak için kullanılsa da zararlı yazılımın uyarlanabilirliğini artırıyor.
Zararlı yazılım kaldırılmak istendiğinde görünmez katmanlar nedeniyle işlem yapılamıyor. Bu durumda cihazı Güvenli Mod’da başlatmak gerekiyor. Telefon kapatma tuşuna uzun basıp Kapat seçeneğine basılı tutulduğunda Güvenli Mod başlatma seçeneği çıkıyor. Cihaz yeniden başladıktan sonra Ayarlar > Uygulamalar bölümünden MorganArg uygulaması normal şekilde silinebiliyor.
