Üretken yapay zekâ kullanan Android tehditleri çağı başladı

BEĞENDİM

ABONE OL

News

Siber güvenlik şirketi ESET, kalıcılık sağlamak için yürütme akışında üretken yapay zekâyı berbata kullanan bilinen birinci Android makus maksatlı yazılımı olan PromptSpy’ı keşfetti. Saldırganlar, makus gayeli kullanıcı arayüzü manipülasyonunu yönlendirmek için bir yapay zekâ modelini (özellikle Google’ın Gemini modelini) kullanmaya dayandıkları için ESET, bu aileye PromptSpy ismini verdi.

Kötü hedefli yazılım kilit ekranı bilgilerini yakalayabiliyor. Kaldırma teşebbüslerini engelleyebiliyor, aygıt bilgilerini toplayabiliyor, ekran imajı alabiliyor ve ekran aktifliğini görüntü olarak kaydedebiliyor. ESET araştırmacıları bilinen birinci yapay zekâ takviyeli fidye yazılımı olan PromptLock’u, Ağustos 2025’te keşfetmişlerdi. PromptSpy ESET Research’ün keşfettiği ikinci yapay zekâ dayanaklı makus maksatlı yazılım oldu.

Dil yerelleştirme ipuçları ve tahlil sırasında gözlemlenen dağıtım vektörlerine dayanarak, bu kampanyanın finansal emelli olduğu ve öncelikle Arjantin’deki kullanıcıları hedeflediği görülüyor. Lakin PromptSpy şimdi ESET telemetrisinde gözlemlenmedi, bu da muhtemelen bir kavram delili niteliğinde olduğunu gösteriyor. Üretken yapay zekâ, PromptSpy’ın kodunun nispeten küçük bir kısmında (kalıcılık sağlamaktan sorumlu olan bölüm) kullanılmasına karşın makûs hedefli yazılımın uyarlanabilirliği üzerinde kıymetli bir tesire sahip. Bilhassa, Gemini, PromptSpy’a makus emelli uygulamanın son uygulamalar listesinde (çoğu Android başlatıcının çoklu vazife görünümünde çoklukla bir asma kilit simgesiyle temsil edilir) “kilitli”, yani sabitlenmiş hâle getirilmesi için adım adım talimatlar sağlamak maksadıyla kullanılır. Böylelikle uygulamanın sistem tarafından basitçe silinmesini yahut kapatılmasını önler. Yapay zekâ modeli ve komut istemi kodda evvelce tanımlanmıştır ve değiştirilemez.

PromptSpy’ı keşfeden ESET araştırmacısı Lukáš Štefanko şu açıklamayı yaptı: “Android berbat hedefli yazılımları ekseriyetle UI tabanlı navigasyona dayandığından üretken yapay zekâyı kullanmak, tehdit aktörlerinin çabucak hemen her aygıta, sisteme yahut işletim sistemi sürümüne ahenk sağlamasına imkan tanır ve bu da potansiyel kurban havuzunu büyük ölçüde artırabilir. PromptSpy’ın temel gayesi, operatörlere kurbanın aygıtına uzaktan erişim sağlayan yerleşik bir VNC modülü dağıtmaktır. Bu Android makus maksatlı yazılımı ayrıyeten Erişilebilirlik Hizmetlerini berbata kullanarak görünmez kaplamalarla kaldırılmasını pürüzler, kilit ekranı bilgilerini yakalar ve ekran aktifliğini görüntü olarak kaydeder. AES şifreleme yoluyla Komuta ve Denetim sunucusuyla irtibat kurar.”

PromptSpy, özel bir web sitesi aracılığıyla dağıtılıyor ve Google Play’de hiç bulunmamıştı. Bununla birlikte, App Defense Alliance ortağı olan ESET, bulgularını Google ile paylaşmıştı. Android kullanıcıları, Google Play Hizmetleri’ne sahip Android aygıtlarda varsayılan olarak aktifleştirilen Google Play Protect tarafından bu berbat emelli yazılımın bilinen sürümlerine karşı otomatik olarak korunuyor.

Lukáš Štefanko, PromptSpy Gemini’yi sadece bir özelliğinde kullanıyor olsa da bu araçların uygulanmasının berbat maksatlı yazılımları nasıl daha dinamik hâle getirebileceğini ve tehdit aktörlerine klasik komut evrakı yazımıyla olağanda daha güç olan aksiyonları otomatikleştirme yolları sunduğunu gösterdiğini söyledi.

Uygulamanın ismi MorganArg ve simgesi Morgan Chase’den esinlenmiş üzere göründüğünden bu berbat hedefli yazılım muhtemelen Morgan Chase bankasını taklit ediyor. MorganArg, muhtemelen “Morgan Argentina”nın kısaltması ve önbelleğe alınmış web sitesinin ismi olarak da görünür, bu da bölgesel bir hedefleme odağı olduğunu düşündürüyor.

PromptSpy, ekrana görünmez öğeler yerleştirerek kaldırılmasını engellediğinden kurbanın bunu kaldırmasının tek yolu, aygıtı İnançlı Modda tekrar başlatmak. İnançlı Modda, üçüncü taraf uygulamalar devre dışı bırakılır ve olağan halde kaldırılabilir. İnançlı Mod’a girmek için kullanıcılar ekseriyetle güç düğmesini basılı tutmalı, Güç kapat’a uzun basmalı ve İnançlı Mod’da Tekrar Başlat komutunu onaylamalıdır (ancak kesin metot aygıta ve üreticiye nazaran farklılık gösterebilir). Telefon İnançlı Modda yine başlatıldığında, kullanıcı Ayarlar → Uygulamalar → MorganArg’a gidip engellenmeden kaldırma sürecini gerçekleştirebilir.

Kaynak: (BYZHA) Beyaz Haber Ajansı