كشفت أبحاث تقنية حديثة عن ظهور عائلة جديدة من البرمجيات الخبيثة تستهدف الأجهزة العاملة بنظام Android، وتعد الأولى من نوعها في دمج تقنيات الذكاء الاصطناعي التوليدي ضمن مسار تشغيلها لضمان البقاء داخل الجهاز المستهدف. وتستغل هذه البرمجية، التي أطلق عليها اسم PromptSpy، نموذج Google Gemini لفهم واجهة الهاتف وتلقي تعليمات دقيقة تمنع المستخدم من إغلاق التطبيق أو حذفه.
أفادت تقارير صادرة عن شركة ESET برصد البرمجية الخبيثة PromptSpy. وأوضح الباحثون أن الابتكار في هذه البرمجية يكمن في استخدام Google Gemini كأداة لتحليل عناصر الشاشة لحظة بلحظة. وبناء على هذا التحليل، تتلقى البرمجية إرشادات خطوة بخطوة لتنفيذ إجراءات تضمن استمرارية التطبيق الخبيث في حالة نشطة، مع الحد من قدرة المستخدم على إنهاء عمله عبر الإيماءات اللمسية المعتادة.
تقنية تثبيت التطبيق في القائمة الأخيرة
تعتمد البرمجية على ميزة موجودة في واجهات Android تتيح قفل التطبيق داخل شاشة المهام الأخيرة، وهو خيار يظهر عادة على شكل رمز قفل صغير. يقلل تفعيل هذا القفل من احتمالات إغلاق التطبيق عند سحب النوافذ، ويجعل إنهاء نشاطه يتطلب خطوات إضافية معقدة.
ووفقاً لتحليل ESET، ترسل PromptSpy وصفاً تفصيلياً لعناصر الواجهة (XML dump) إلى نموذج Google Gemini، مرفقاً بأوامر نصية (Prompts). يتولى النموذج تفسير هذه العناصر ويرد ببيانات منظمة بتنسيق JSON تحدد الإجراء المطلوب والموقع الدقيق على الشاشة. تمنح هذه الطريقة البرمجية قدرة عالية على التكيف مع اختلاف مقاسات الشاشات وتصميمات الواجهات البرمجية، وهو تحد كان يصعب تجاوزه بالبرمجة التقليدية.
التحكم عن بعد وعرقلة الحذف
يتجاوز هدف PromptSpy مجرد البقاء، إذ يعمل على زرع وحدة VNC مدمجة تسمح للمهاجمين بمراقبة شاشة الضحية وتنفيذ عمليات عن بعد. وتستغل البرمجية خدمات الوصول للتفاعل مع الواجهة، وتستخدم طبقات حجب غير مرئية لتعطيل محاولات إلغاء التثبيت، وذلك عبر حجب الأزرار المسؤولة عن الحذف أو تضليل نقرات المستخدم.
وتشمل القدرات التجسسية للبرمجية جمع معلومات الجهاز، والتقاط صور وفيديوهات للنشاط على الشاشة، واعتراض بيانات قفل الشاشة. وتتم عملية التواصل مع خوادم المهاجمين عبر بروتوكول VNC باستخدام تشفير من نوع AES لضمان سرية البيانات المنقولة.
مسارات الانتشار والجهات المستهدفة
تشير التحليلات إلى أن PromptSpy لم يتطرح عبر متجر Google Play الرسمي، بل جرى توزيعها عبر مواقع إلكترونية مخصصة. وانتحلت هذه المواقع صفة مؤسسات مالية، حيث ارتبطت بصفحات توهم المستخدمين بتبعيتها لشركة JPMorgan Chase تحت اسم Morgan Argentina.
وتدفع هذه الصفحات المستخدمين إلى تفعيل خيار تثبيت التطبيقات من مصادر غير معروفة لتنزيل الملف الخبيث. وترجح ESET أن الحملة تحمل دوافع مالية وتستهدف بشكل أساسي المستخدمين في الأرجنتين، رغم وجود مؤشرات داخلية في الشفرة المصدرية توحي بأن بيئة التطوير ناطقة باللغة الصينية. وبما أن البرمجية لم تظهر بشكل واسع في بيانات الرصد العالمية حتى الآن، فقد تكون في طور التجربة أو ضمن حملة محدودة النطاق.
إجراءات الحماية الرسمية
أكدت شركة ESET مشاركة هذه النتائج مع Google كجزء من تحالف الدفاع عن التطبيقات. ومن جانبها، توفر Google حماية تلقائية للمستخدمين الذين تتوفر في أجهزتهم خدمات Google Play عبر ميزة Google Play Protect، التي تعمل على فحص التطبيقات وحظر النسخ المعروفة من هذه البرمجية بشكل استباقي.
