Gemini’den talimat alan kötü amaçlı yazılım: PromptSpy ile tanışın
Siber güvenlik dünyasında yeni bir evreye girildi. Güvenlik kuruluşu ESET, Android işletim sistemini hedef alan ve kalıcılık sağlamak için üretken yapay zekâyı kötüye kullanan ilk kötü amaçlı yazılım olan PromptSpy’ı keşfetti. Google’ın Gemini modelinden talimatlar alarak çalışan bu yazılım, siber tehditlerin ne denli uyarlanabilir hale geldiğini gözler önüne seriyor.
Yapay zekâ ile sistemde kalıcılık sağlıyor
ESET araştırmacıları tarafından keşfedilen PromptSpy, özellikle Google’ın Gemini modelini kullanarak kötü amaçlı kullanıcı arayüzü (UI) manipülasyonlarını yönlendiriyor. Yazılım, sistemin uygulamayı kapatmasını veya silmesini önlemek için Gemini’den adım adım talimatlar alıyor ve kendisini “son uygulamalar” listesinde sabitliyor.
Yapay zekâ desteği kodun küçük bir bölümünü oluştursa da yazılıma sağladığı dinamizm oldukça kritik. ESET araştırmacısı Lukáš Štefanko, yapay zekâ kullanımının tehdit aktörlerine neredeyse her cihaz düzeneğine ve işletim sistemi sürümüne uyum sağlama yeteneği kazandırdığını, bunun da potansiyel kurban havuzunu genişlettiğini ifade etti.
Kapsamlı casusluk özellikleri
PromptSpy, yalnızca kalıcılık sağlamakla kalmıyor, aynı zamanda kurbanın cihazında geniş yetkilere sahip oluyor. Yazılımın tespit edilen temel özellikleri şunlardır:
Ekran Kaydı ve İzleme: Ekran etkinliğini video olarak kaydedebiliyor ve ekran görüntüleri alabiliyor.
Veri Hırsızlığı: Kilit ekranı verilerini yakalayabiliyor ve kapsamlı cihaz bilgilerini toplayabiliyor.
Uzaktan Erişim: Operatörlere cihaz üzerinde tam kontrol sağlayan yerleşik bir VNC modülü içeriyor.
Kaldırma Girişimlerini Engelleme: Erişilebilirlik Hizmetlerini kötüye kullanarak görünmez kaplamalar oluşturuyor ve uygulamanın silinmesini engelliyor.
Finansal odaklı ve bölgesel hedefleme
Analizler, PromptSpy’ın “MorganArg” adıyla ve Morgan Chase bankasının simgesini taklit ederek dağıtıldığını gösteriyor. Bu durum, saldırının öncelikle Arjantin’deki kullanıcıları hedefleyen finansal amaçlı bir kampanya olduğunu düşündürüyor. Şu ana kadar ESET telemetrisinde doğrudan bir kurban gözlemlenmemiş olması, yazılımın henüz bir “kavram kanıtı” (proof of concept) aşamasında olabileceğine işaret ediyor.
Kullanıcılar kendilerini nasıl koruyabilir?
PromptSpy, Google Play Store üzerinden değil, özel web siteleri aracılığıyla yayılıyor. Google Play Hizmetleri bulunan cihazlarda Google Play Protect özelliği bu tehdide karşı otomatik koruma sağlıyor.
Eğer cihaz bu yazılımdan etkilenmişse, normal yollarla silinmesi mümkün olmuyor. ESET, kullanıcıların şu adımları izlemesini öneriyor:
Güvenli Mod: Cihazı Güvenli Modda yeniden başlatın (genellikle güç düğmesine basılı tutup “Güç Kapat” seçeneğine uzun basarak yapılır).
Uygulamayı Kaldırma: Güvenli Modda üçüncü taraf uygulamalar devre dışı kalacağı için Ayarlar → Uygulamalar sekmesinden ilgili yazılımı (MorganArg) engel takılmadan silebilirsiniz.