PromptSpy: Generativ sun'iy intellektdan foydalanuvchi birinchi Android zararli dasturi aniqlandi

ESET tadqiqotchilari Android operatsion tizimi tarixida mutlaqo yangi bosqichni — generativ sun'iy intellektdan (GenAI) foydalanuvchi birinchi zararli dastur aniqlanganini e'lon qildi. PromptSpy deb nomlangan ushbu virus o'zining ijro etilish jarayonida Google'ning Gemini AI modelidan foydalanadi. Bu kiberjinoyatchilarning sun'iy intellekt yordamida foydalanuvchi interfeysini (UI) tahlil qilish va manipulyatsiya qilish bo'yicha birinchi ma'lum holatidir.

PromptSpy zararli dasturi 2025-yil avgust oyida aniqlangan birinchi AI-ransomware — PromptLock'dan keyin ESET tomonidan kashf etilgan ikkinchi AI-quvvatli zararli dastur hisoblanadi. Garchi sun'iy intellekt dastur kodining nisbatan kichik qismida ishlatilgan bo'lsa-da, u virusning turli qurilmalarga moslashuvchanligini sezilarli darajada oshiradi.

Sun'iy intellekt zararli dastur xizmatida

PromptSpy o'zining tizimda saqlanib qolish (persistence) xususiyatini ta'minlash uchun Gemini modeliga tayanadi. An'anaviy Android viruslari odatda ekrandagi tugmalarni bosish uchun qat'iy yozilgan (hardcoded) skriptlardan foydalanadi, ammo bu usullar qurilma modeli yoki operatsion tizim versiyasi o'zgarganda ishdan chiqishi mumkin. PromptSpy esa boshqacha yo'l tutadi: u joriy ekranning XML nusxasini Gemini'ga yuboradi.

AI modeli ekrandagi har bir elementning joylashuvi va turini tahlil qilib, virusga qaysi tugmani bosish yoki qanday imo-ishora (gesture) bajarish kerakligi haqida JSON formatida bosqichma-bosqich ko'rsatmalar beradi. Maqsad — zararli dasturni "so'nggi ilovalar" (recent apps) ro'yxatida bloklab qo'yish (pin), bu esa foydalanuvchiga uni yopishga yoki tizimga uni o'chirib tashlashga xalaqit beradi.

Masofaviy nazorat va josuslik imkoniyatlari

Zararli dasturning asosiy vazifasi foydalanuvchi qurilmasiga VNC (Virtual Network Computing) modulini o'rnatishdir. Bu modul xakerlarga smartfonni masofadan to'liq boshqarish imkonini beradi. PromptSpy Accessibility Service (Maxsus imkoniyatlar xizmati) imtiyozlarini suiiste'mol qilib, quyidagi harakatlarni amalga oshira oladi:

• Ekrandagi barcha harakatlarni video sifatida yozib olish;
• Bloklash ekrani ma'lumotlarini o'g'irlash;
• Ilovani o'chirishga urinilganda ko'rinmas qatlamlar (overlays) bilan jarayonni to'sib qo'yish;
• Skrinshotlar olish va qurilma ma'lumotlarini to'plash.

Virus o'zining boshqaruv serveri bilan AES shifrlash usuli orqali muloqot qiladi va barcha buyruqlarni real vaqt rejimida bajaradi.

Maqsadli hudud va kelib chiqishi

Tahlillarga ko'ra, ushbu kampaniya moliyaviy manfaatlar yo'lida tashkil etilgan bo'lib, asosan Argentinadagi foydalanuvchilarga qaratilgan. Zararli dastur "Chase Bank" (JPMorgan Chase) brendini soxtalashtirgan holda, "MorganArg" nomi ostida tarqalmoqda. PromptSpy hech qachon Google Play rasmiy do'konida mavjud bo'lmagan va maxsus veb-saytlar orqali tarqatilgan.

Qiziqarli jihati shundaki, dastur kodi ichida soddalashtirilgan xitoy tilidagi debug yozuvlari va xitoycha xabar berish tizimi topilgan. Bu PromptSpy xitoy tilida so'zlashuvchi muhitda ishlab chiqilganidan dalolat beradi. Hozirda Google Play Protect ushbu zararli dasturning barcha ma'lum versiyalaridan himoyalanganligini ta'minlamoqda.