ESET, Google Gemini kullanan ilk Android virüsünü keşfetti – PromptSpy

PromptSpy nedir?

ESET şirketinin geliştiricileri Android için PromptSpy adında yeni bir kötü amaçlı yazılım keşfetti. Bu, doğrudan Google Gemini sohbet botuna API üzerinden erişen ve üretken yapay zekanın yeteneklerini kullanarak bulaşmış cihazda “yerleşmek” için ilk virüstür.

PromptSpy nasıl çalışır
1. Gemini’ye bağlanma

Kötü amaçlı yazılım önceden hazırlanmış istekleri Gemini’ye gönderir, adım adım talimatlar alır. Bu talimatlarla cihaz ekranını (örneğin görüntüleri tanıyarak) analiz eder ve kendisini son uygulamalar listesinde bırakmayı planlar.

2. Uzaktan erişim modülü kurulumu

Kullanıcı MorganArg uygulamasını (gerçekte kötü amaçlı yazılım) yüklemeyi kabul ettikten sonra PromptSpy, saldırganların kontrol ettiği sunucuya bağlanır ve kodun geri kalanını indirir. Bu kısımda sanal ağ (VNC) modülü ve özel yetenek hizmetlerine erişim istekleri bulunur; bu da Android cihaz üzerinde uzaktan kontrol sağlar.

3. Normal silme yöntemlerinin atlatılması

Kötü amaçlı yazılım, ekranın üstüne “şeffaf dikdörtgenler” yerleştirerek kritik bölgelerde dokunmayı engeller ve uygulamanın zorla kapatılmasını zorlaştırır. Sadece güvenli modda kaldırılabilir; bu modda üçüncü taraf programlar devre dışı bırakılır.

4. Ek özellikler

- Ekran kilidi PIN kodlarını yakalama yeteneği.
- Ekrandaki eylemleri kaydetme (kaydırmalar, metin girişi).
- Cihazla fiziksel etkileşimi taklit etme – sanki operatör telefonun elinde.

Kökeni ve saldırının amacı
- Bölgesel hedefleme: PromptSpy’nin dağıtıldığı oltalama sitesi *JPMorgan Chase Argentina* markasını kullandı, hedef kitleyi Arjantinli kullanıcılar olarak belirtti.
- Ağda ortaya çıkışı: Virüs, örnekler Arjantin’den Google VirusTotal platformuna yüklenince keşfedildi.
- Çin izleri: Kodda Çince parçalar bulunur; bu da kötü amaçlı yazılımın Çin’de geliştirildiği varsayımını destekler.

Nasıl korunulur
- Google Play Protect: ESET’in verilerine göre, Google’ın koruma servisi PromptSpy’yi zaten engelliyor ve uygulama henüz Play Market’te bulunmuyor.
- OS ve uygulama güncellemeleri: Android güvenlik yamalarını en son sürümlerle yükleyin ve yalnızca doğrulanmış kaynaklardan program indirin.
- İzinlerde dikkatli olun: Özellikle özel yetenek hizmetlerine erişim isteyen, kontrolsüz uygulamaların kurulumuna izin vermeyin.

Sonuç
PromptSpy, kötü amaçlı yazılımın üretken yapay zeka servisleriyle etkileşiminin yeni bir seviyesini gösteriyor. Gemini sayesinde virüs her cihaza ve işletim sistemine uyum sağlayabilir; bu da bulaşma riskini artırır. Silme zor olsa da güvenli modda kaldırılabilir ve Google Play Protect’un yerleşik mekanizmaları kullanıcıları korur.