كشف باحثو شركة ESET عن برمجية خبيثة جديدة تحمل اسم PromptSpy، تُعتبر الأولى من نوعها التي تستغل قدرات الذكاء الاصطناعي التوليدي Gemini من جوجل ضمن آلية التنفيذ. البرمجية مصممة لالتقاط بيانات شاشة القفل، منع محاولات إلغاء التثبيت، جمع معلومات الجهاز، التقاط صور للشاشة، وتسجيل النشاط المرئي كفيديو.
الهدف الأساسي للبرمجية هو نشر وحدة VNC مدمجة تمنح المهاجمين وصولاً عن بُعد إلى أجهزة الضحايا، مع الاستفادة من خدمات إمكانية الوصول في أندرويد لتعطيل محاولات الإزالة.
كيف يُستغل Gemini
تعمل البرمجية عبر تضمين نموذج Gemini مع تعليمات مهيأة مسبقاً، حيث يُمنح دور “مساعد أتمتة أندرويد”. يتم إرسال تفريغ XML للشاشة الحالية إلى Gemini، متضمناً تفاصيل كل عنصر واجهة مستخدم من نصوص وأنواع ومواقع دقيقة.
يقوم Gemini بتحليل هذه البيانات ويعيد تعليمات JSON تحدد الإجراءات المطلوبة (مثل النقر أو السحب) ومكان تنفيذها. هذه العملية التفاعلية تستمر حتى يتم تثبيت التطبيق في قائمة التطبيقات الحديثة، مما يمنع النظام من إيقافه بسهولة.
طرق التوزيع والبنية التحتية
- يتم توزيع PromptSpy عبر موقع مخصص mgardownload[.]com، الذي يقدّم تطبيقاً إسقاطياً (Dropper).
- عند التثبيت، يفتح التطبيق صفحة ويب على m-mgarg[.]com متخفياً باسم MorganArg، في إشارة إلى بنك JPMorgan Chase في الأرجنتين.
- يطلب التطبيق من الضحايا منح صلاحيات لتثبيت تطبيقات من مصادر غير معروفة، ليتم تنزيل PromptSpy لاحقاً.
- يتواصل التروجان مع خادم C2 محدد (“54.67.2[.]84”) عبر بروتوكول VNC للحصول على مفتاح Gemini API وتنفيذ أوامر مثل تسجيل الشاشة أو اعتراض كلمات المرور.
أظهرت التحليلات أن البرمجية طُورت في بيئة ناطقة بالصينية المبسطة، بينما تستهدف مستخدمين في الأرجنتين، ما يشير إلى دوافع مالية وراء الحملة.
قدرات متقدمة ومخاطر
- منع الإزالة عبر طبقات غير مرئية على الشاشة.
- اعتراض بيانات شاشة القفل وكلمات المرور.
- تسجيل فيديو لشاشة النمط (Pattern Unlock).
- التقاط صور للشاشة عند الطلب.
البرمجية تُعتبر نسخة متقدمة من برمجية سابقة غير معروفة باسم VNCSpy، التي ظهرت عيناتها لأول مرة على منصة VirusTotal من هونغ كونغ.
الطريقة الوحيدة لإزالة PromptSpy هي إعادة تشغيل الجهاز في الوضع الآمن (Safe Mode)، حيث يتم تعطيل التطبيقات الخارجية ويمكن حذفها.
دلالات أمنية
يمثل ظهور PromptSpy نقطة تحول في تطور البرمجيات الخبيثة على أندرويد، إذ يُظهر كيف يمكن للذكاء الاصطناعي التوليدي أن يُستخدم لتفسير عناصر الشاشة والتكيف مع أي جهاز أو واجهة، مما يمنح المهاجمين قدرة على الاستمرارية والمناورة لم تكن ممكنة بالطرق التقليدية.
بدلاً من الاعتماد على نقرات مبرمجة مسبقاً، تعتمد البرمجية على ذكاء اصطناعي ديناميكي يترجم واجهة المستخدم إلى تعليمات دقيقة، ما يجعلها أكثر مرونة في مواجهة تغييرات النظام.
