Google Gemini’ni əməliyyatın bir hissəsinə çevirən ilk Android zərərli proqramı aşkarlandı

ESET tədqiqatçıları Google Gemini’ni yalnız yardımçı vasitə kimi deyil, hücumun icra mexanizminin birbaşa tərkib hissəsi kimi istifadə edən Android zərərli proqramı aşkar ediblər. “PromptSpy” adlı yeni troyan generativ süni intellektdən istifadə etməklə cihazın interfeysi üzrə naviqasiyanı (hərəkətləri) avtomatlaşdırır və sistemdə möhkəmlənməyə çalışır.

Tədqiqatçılara görə, zərərli proqram Gemini’yə cari ekranın XML çıxarışını interfeysdəki bütün elementlərin (mətnlər, düymələrin tipi və yerləşməsi və s.) təsviri ilə birlikdə ötürür. Model isə cavab olaraq JSON formatında addım-addım təlimatlar təqdim edir, yəni istifadəçinin hara toxunmalı və növbəti mərhələdə hansı əməliyyatı yerinə yetirməli olduğu göstərilir. Bu yanaşma sayəsində troyan öz tətbiqinin “son istifadə olunan tətbiqlər” (Recent apps) siyahısında sabitlənmiş vəziyyətdə qalmasına nail olur və sadə sürüşdürmə metodu ilə proqramın bağlanmasının qarşısını alır. ESET bildirir ki, bu metod zərərli proqramı daha universal edir. Əvvəlcədən yazılmış sərt koordinatlara ehtiyac olmadan müxtəlif Android versiyalarına, istehsalçı interfeyslərinə (UI shell) və ekran ölçülərinə uyğunlaşa bilir.

Möhkəmlənmədən sonra PromptSpy daxili VNC modulunu aktivləşdirərək qurğu üzərində tamhüquqlu uzaqdan idarəetmə imkanı əldə edir. Troyanın ekran kilidinin PİN kodunu və parolunu ələ keçirmək, ekrandan video yazısı aparmaq, ekran görüntüləri yaratmaq və qurğu barədə məlumat toplamaq kimi funksiyalara malik olduğu qeyd olunur. İdarəetmə üçün sərt şəkildə kodlaşdırılmış IP ünvanına malik C2 (command-and-control) serverindən istifadə edildiyi bildirilir. Gemini’yə çıxış isə API açarı vasitəsilə təmin olunur və bu açar troyan tərəfindən serverdən əldə edilir.

Zərərli proqramın silinmək təhlükəsinə qarşı Android’in əlçatanlıq xidmətlərindən (Accessibility services) aktiv istifadə etdiyi, interfeys üzərinə görünməz overlay qatları tətbiq etdiyi vurğulanır. Nəticədə tətbiqi standart üsulla silmək cəhdləri uğursuz olur. Onu aradan qaldırmağın əsas yolu qurğunu təhlükəsiz rejimdə (Safe Mode) yenidən işə salmaq və proqramı məhz həmin rejimdə silmək olduğu bildirilir.

ESET’in məlumatına əsasən, kampaniya maliyyə məqsədlidir. PromptSpy Google Play’dən kənar, ayrıca sayt vasitəsilə yayılır. Qurbanlara JPMorgan Chase Argentina’nın imitasiyası olduğu iddia edilən “MorganArg” tətbiqi adı altında yeniləmə quraşdırmaq təklif olunur. Quraşdırmadan sonra dropper komponent naməlum mənbələrdən tətbiq quraşdırılmasına icazə tələb edir və əsas zərərli proqramı əlavə olaraq endirib qurur. Tədqiqat zamanı kodda sadələşdirilmiş çin dilində debug sətirlərinin aşkarlanması, kampaniyanın çin dilli inkişaf mühiti ilə əlaqəli ola biləcəyinə işarə edir. ESET qeyd edir ki, PromptSpy ötən ay VirusTotal’da nümunələri görünən “VNCSpy” adlı Android zərərli proqramının daha təkmil versiyası kimi qiymətləndirilə bilər.