Siber güvenlik şirketi ESET, kalıcılık sağlamak için yürütme akışında üretken yapay zekâyı berbata kullanan bilinen birinci Android berbat hedefli yazılımı olan PromptSpy’ı keşfetti. Saldırganlar, makus maksatlı kullanıcı arayüzü manipülasyonunu yönlendirmek için bir yapay zekâ modelini (özellikle Google’ın Gemini modelini) kullanmaya dayandıkları için ESET, bu aileye PromptSpy ismini verdi.
Kötü hedefli yazılım kilit ekranı datalarını yakalayabiliyor. Kaldırma teşebbüslerini engelleyebiliyor, aygıt bilgilerini toplayabiliyor, ekran manzarası alabiliyor ve ekran aktifliğini görüntü olarak kaydedebiliyor. ESET araştırmacıları bilinen birinci yapay zekâ dayanaklı fidye yazılımı olan PromptLock’u, Ağustos 2025’te keşfetmişlerdi. PromptSpy ESET Research’ün keşfettiği ikinci yapay zekâ takviyeli berbat hedefli yazılım oldu.
Dil yerelleştirme ipuçları ve tahlil sırasında gözlemlenen dağıtım vektörlerine dayanarak, bu kampanyanın finansal maksatlı olduğu ve öncelikle Arjantin’deki kullanıcıları hedeflediği görülüyor. Lakin PromptSpy şimdi ESET telemetrisinde gözlemlenmedi, bu da muhtemelen bir kavram delili niteliğinde olduğunu gösteriyor. Üretken yapay zekâ, PromptSpy’ın kodunun nispeten küçük bir kısmında (kalıcılık sağlamaktan sorumlu olan bölüm) kullanılmasına karşın makus emelli yazılımın uyarlanabilirliği üzerinde kıymetli bir tesire sahip. Bilhassa, Gemini, PromptSpy’a makus hedefli uygulamanın son uygulamalar listesinde (çoğu Android başlatıcının çoklu misyon görünümünde çoklukla bir asma kilit simgesiyle temsil edilir) “kilitli”, yani sabitlenmiş hâle getirilmesi için adım adım talimatlar sağlamak gayesiyle kullanılır. Böylelikle uygulamanın sistem tarafından kolay kolay silinmesini yahut kapatılmasını önler. Yapay zekâ modeli ve komut istemi kodda evvelce tanımlanmıştır ve değiştirilemez.
PromptSpy’ı keşfeden ESET araştırmacısı Lukáš Štefanko şu açıklamayı yaptı: “Android berbat emelli yazılımları ekseriyetle UI tabanlı navigasyona dayandığından üretken yapay zekâyı kullanmak, tehdit aktörlerinin çabucak hemen her aygıta, sisteme yahut işletim sistemi sürümüne ahenk sağlamasına imkan tanır ve bu da potansiyel kurban havuzunu büyük ölçüde artırabilir. PromptSpy’ın temel emeli, operatörlere kurbanın aygıtına uzaktan erişim sağlayan yerleşik bir VNC modülü dağıtmaktır. Bu Android makus maksatlı yazılımı ayrıyeten Erişilebilirlik Hizmetlerini berbata kullanarak görünmez kaplamalarla kaldırılmasını pürüzler, kilit ekranı bilgilerini yakalar ve ekran aktifliğini görüntü olarak kaydeder. AES şifreleme yoluyla Komuta ve Denetim sunucusuyla irtibat kurar.”
PromptSpy, özel bir web sitesi aracılığıyla dağıtılıyor ve Google Play’de hiç bulunmamıştı. Bununla birlikte, App Defense Alliance ortağı olan ESET, bulgularını Google ile paylaşmıştı. Android kullanıcıları, Google Play Hizmetleri’ne sahip Android aygıtlarda varsayılan olarak aktifleştirilen Google Play Protect tarafından bu berbat emelli yazılımın bilinen sürümlerine karşı otomatik olarak korunuyor.
Lukáš Štefanko, PromptSpy Gemini’yi sırf bir özelliğinde kullanıyor olsa da bu araçların uygulanmasının berbat emelli yazılımları nasıl daha dinamik hâle getirebileceğini ve tehdit aktörlerine klâsik komut belgesi yazımıyla olağanda daha güç olan aksiyonları otomatikleştirme yolları sunduğunu gösterdiğini söyledi.
Uygulamanın ismi MorganArg ve simgesi Morgan Chase’den esinlenmiş üzere göründüğünden bu berbat hedefli yazılım muhtemelen Morgan Chase bankasını taklit ediyor. MorganArg, muhtemelen “Morgan Argentina”nın kısaltması ve önbelleğe alınmış web sitesinin ismi olarak da görünür, bu da bölgesel bir hedefleme odağı olduğunu düşündürüyor.
PromptSpy, ekrana görünmez öğeler yerleştirerek kaldırılmasını engellediğinden kurbanın bunu kaldırmasının tek yolu, aygıtı İnançlı Modda yine başlatmak. İnançlı Modda, üçüncü taraf uygulamalar devre dışı bırakılır ve olağan formda kaldırılabilir. İnançlı Mod’a girmek için kullanıcılar ekseriyetle güç düğmesini basılı tutmalı, Güç kapat’a uzun basmalı ve İnançlı Mod’da Yine Başlat komutunu onaylamalıdır (ancak kesin prosedür aygıta ve üreticiye nazaran farklılık gösterebilir). Telefon İnançlı Modda tekrar başlatıldığında, kullanıcı Ayarlar → Uygulamalar → MorganArg’a gidip engellenmeden kaldırma sürecini gerçekleştirebilir.
Kaynak: (BYZHA) Beyaz Haber Ajansı
