كشف خبراء الأمن السيبراني عن أول برمجية خبيثة لنظام أندرويد تستغل روبوت الدردشة Gemini من جوجل كجزء أساسي من عملية التشغيل لضمان استمرار عملها في الخلفية. وتُعد هذه البرمجية، التي أطلق عليها اسم PromptSpy، تطوراً خطيراً يهدد خصوصية المستخدمين بشكل غير مسبوق.
كيف تستغل البرمجية ذكاء جوجل Gemini؟
تستخدم البرمجية نموذج الذكاء الاصطناعي لتحليل شاشة المستخدم الحالية وتقديم تعليمات دقيقة وتدريجية حول كيفية إبقاء التطبيق الخبيث مثبتاً في قائمة "التطبيقات الحديثة". هذا التكتيك يمنع المستخدم من إغلاق التطبيق بسهولة أو قيام النظام بإنهاء عمله لتوفير البطارية.
يعتمد المهاجمون على الذكاء الاصطناعي التوليدي للتكيف مع مختلف الأجهزة وتخطيطات الشاشة وإصدارات نظام التشغيل، مما يوسع دائرة الضحايا المحتملين بشكل كبير. وبحسب متابعة تيكبامين، تقوم البرمجية بإرسال وصف نصي وبيانات XML دقيقة لعناصر الشاشة إلى Gemini، الذي يرد بدوره بتعليمات برمجية (JSON) لتنفيذ إجراءات محددة مثل النقر في أماكن معينة.
ما هي خطورة برمجية PromptSpy على هاتفك؟
لا تقتصر وظيفة هذه البرمجية على البقاء نشطة فقط، بل تشمل قدرات تجسسية واسعة وخطيرة تمكن المهاجمين من السيطرة الكاملة على الجهاز.
إليك أبرز القدرات التي رصدها الباحثون في هذه البرمجية:
- التقاط صور للشاشة وتسجيل نشاط الشاشة كفيديو بشكل سري.
- سرقة بيانات قفل الشاشة والأنماط (Pattern unlock) وكلمات المرور.
- منع محاولات إلغاء تثبيت التطبيق عبر استغلال خدمات الوصول.
- نشر وحدة VNC مدمجة لمنح المهاجمين وصولاً كاملاً عن بعد للجهاز.
- جمع معلومات دقيقة حول الجهاز والضحية.
تعتمد البرمجية بشكل كبير على "خدمات الوصول" (Accessibility Services) لتنفيذ الاقتراحات التي يقدمها Gemini دون الحاجة لتدخل المستخدم. ويتم كل ذلك من خلال التواصل مع خادم تحكم (C2) لتلقي مفاتيح API وتنفيذ الأوامر عن بعد.
من هم المستهدفون بهذه الهجمة؟
تشير التحليلات اللغوية وطرق التوزيع إلى أن الحملة ذات دوافع مالية وتستهدف حالياً مستخدمين في مناطق محددة مثل الأرجنتين، ولكن طبيعة البرمجية المتطورة تعني إمكانية انتشارها عالمياً بسرعة. وينصح موقع تيكبامين المستخدمين بضرورة الحذر عند منح صلاحيات الوصول للتطبيقات المجهولة وتحديث أنظمة الحماية بشكل دوري.
