Siber güvenlik şirketi ESET, kalıcılık sağlamak için yürütme akışında üretken yapay
zekâyı kötüye kullanan bilinen ilk Android kötü amaçlı yazılımı olan PromptSpy'ı
keşfetti. Saldırganlar, kötü amaçlı kullanıcı arayüzü manipülasyonunu yönlendirmek
için bir yapay zekâ modelini (özellikle Google'ın Gemini modelini) kullanmaya
dayandıkları için ESET, bu aileye PromptSpy adını verdi.

Kötü amaçlı yazılım kilit ekranı verilerini yakalayabiliyor. Kaldırma girişimlerini
engelleyebiliyor, cihaz bilgilerini toplayabiliyor, ekran görüntüsü alabiliyor
ve ekran etkinliğini video olarak kaydedebiliyor. ESET araştırmacıları bilinen
ilk yapay zekâ destekli fidye yazılımı olan PromptLock'u, Ağustos 2025'te keşfetmişlerdi.
PromptSpy ESET Research'ün keşfettiği ikinci yapay zekâ destekli
kötü amaçlı yazılım oldu.

Dil yerelleştirme ipuçları ve analiz sırasında gözlemlenen dağıtım vektörlerine
dayanarak, bu kampanyanın finansal amaçlı olduğu ve öncelikle Arjantin'deki kullanıcıları
hedeflediği görülüyor. Ancak PromptSpy henüz ESET telemetrisinde gözlemlenmedi,
bu da muhtemelen bir kavram kanıtı niteliğinde olduğunu gösteriyor.
Üretken yapay zekâ, PromptSpy'ın kodunun nispeten küçük bir bölümünde (kalıcılık
sağlamaktan sorumlu olan bölüm) kullanılmasına rağmen kötü amaçlı yazılımın
uyarlanabilirliği üzerinde önemli bir etkiye sahip. Özellikle, Gemini, PromptSpy'a
kötü amaçlı uygulamanın son uygulamalar listesinde (çoğu Android başlatıcının
çoklu görev görünümünde genellikle bir asma kilit simgesiyle temsil edilir)
kilitli, yani sabitlenmiş hâle getirilmesi için adım adım talimatlar sağlamak
amacıyla kullanılır. Böylece uygulamanın sistem tarafından kolayca silinmesini
veya kapatılmasını önler. Yapay zekâ modeli ve komut istemi kodda önceden tanımlanmıştır
ve değiştirilemez.

PromptSpy'ı keşfeden ESET araştırmacısı Lukáš Štefanko şu açıklamayı yaptı: Android
kötü amaçlı yazılımları genellikle UI tabanlı navigasyona dayandığından üretken
yapay zekâyı kullanmak, tehdit aktörlerinin hemen hemen her cihaza, düzene
veya işletim sistemi sürümüne uyum sağlamasına olanak tanır ve bu da potansiyel
kurban havuzunu büyük ölçüde artırabilir. PromptSpy'ın temel amacı, operatörlere
kurbanın cihazına uzaktan erişim sağlayan yerleşik bir VNC modülü dağıtmaktır.
Bu Android kötü amaçlı yazılımı ayrıca Erişilebilirlik Hizmetlerini kötüye
kullanarak görünmez kaplamalarla kaldırılmasını engeller, kilit ekranı verilerini
yakalar ve ekran etkinliğini video olarak kaydeder. AES şifreleme yoluyla Komuta
ve Kontrol sunucusuyla iletişim kurar.

PromptSpy, özel bir web sitesi aracılığıyla dağıtılıyor ve Google Play'de hiç
bulunmamıştı. Bununla birlikte, App Defense Alliance ortağı olan ESET, bulgularını
Google ile paylaşmıştı. Android kullanıcıları, Google Play Hizmetleri'ne sahip
Android cihazlarda varsayılan olarak etkinleştirilen Google Play Protect tarafından
bu kötü amaçlı yazılımın bilinen sürümlerine karşı otomatik olarak korunuyor.

Lukáš Štefanko, PromptSpy Gemini'yi yalnızca bir özelliğinde kullanıyor olsa da
bu araçların uygulanmasının kötü amaçlı yazılımları nasıl daha dinamik hâle
getirebileceğini ve tehdit aktörlerine geleneksel komut dosyası yazımıyla normalde
daha zor olan eylemleri otomatikleştirme yolları sunduğunu gösterdiğini söyledi.

Uygulamanın adı MorganArg ve simgesi Morgan Chase'den esinlenmiş gibi göründüğünden
bu kötü amaçlı yazılım muhtemelen Morgan Chase bankasını taklit ediyor. MorganArg,
muhtemelen Morgan Argentinanın kısaltması ve önbelleğe alınmış web sitesinin
adı olarak da görünür, bu da bölgesel bir hedefleme odağı olduğunu düşündürüyor.

PromptSpy, ekrana görünmez öğeler yerleştirerek kaldırılmasını engellediğinden kurbanın
bunu kaldırmasının tek yolu, cihazı Güvenli Modda yeniden başlatmak. Güvenli
Modda, üçüncü taraf uygulamalar devre dışı bırakılır ve normal şekilde kaldırılabilir.
Güvenli Mod'a girmek için kullanıcılar genellikle güç düğmesini basılı
tutmalı, Güç kapat'a uzun basmalı ve Güvenli Mod'da Yeniden Başlat komutunu
onaylamalıdır (ancak kesin yöntem cihaza ve üreticiye göre farklılık gösterebilir).
Telefon Güvenli Modda yeniden başlatıldığında, kullanıcı Ayarlar ? Uygulamalar
? MorganArg'a gidip engellenmeden kaldırma işlemini gerçekleştirebilir.



-iDeal Haber Merkezi-
- twitter.com/iDealDataHaber // www.idealdata.com.tr -