Android cihazları hedef alan PromptSpy adlı yeni zararlı yazılım, çalışma sürecinde Google Gemini’yi kullanarak gerçek zamanlı kararlar alıyor. Uzmanlara göre bu, üretken yapay zekâyı aktif şekilde kullanan ilk kötü amaçlı yazılım örneği.
Android ekosisteminde dikkat çeken yeni bir tehdit ortaya çıktı. Siber güvenlik şirketi ESET araştırmacıları, “PromptSpy” adı verilen ve üretken yapay zekâyı doğrudan çalışma sürecine dahil eden bir zararlı yazılım tespit etti.
Daha önce yapay zekâ genellikle oltalama (phishing) sayfaları hazırlamak ya da zararlı kod üretmek için kullanılıyordu. Ancak bu kez tablo biraz farklı. PromptSpy, bulaştığı cihazda gerçek zamanlı kararlar almak için yapay zekâdan yararlanıyor. Yani iş sadece yazılım geliştirmekle kalmıyor; saldırı sürecinin bizzat içine giriyor.
PromptSpy’ın en dikkat çekici özelliği, Google’ın Gemini modelini kullanması. Zararlı yazılım, erişilebilirlik servisleri aracılığıyla cihazın ekran hiyerarşisini XML formatında topluyor. Ardından bu verileri Gemini’ye gönderiyor.
Modelden JSON formatında aldığı komutlara göre kullanıcı arayüzüne müdahale ediyor. Kısacası, farklı Android cihazlardaki arayüz çeşitliliğine uyum sağlamak için yapay zekâyı bir tür “akıl merkezi” gibi kullanıyor. Bu yöntem, virüsün farklı ekran yapılarında sorunsuz çalışmasına imkân tanıyor.
Uzmanlara göre bu yaklaşım, zararlı yazılımlarda yeni bir dönemin habercisi olabilir. Çünkü artık tehditler sabit kodlarla değil, dinamik karar mekanizmalarıyla hareket ediyor.
PromptSpy’ın amacı oldukça net: Cihaz üzerinde tam uzaktan kontrol sağlamak.
Yazılımın ekran kaydı alma, PIN ve şifreleri ele geçirme, Kullanıcı hareketlerini izleme, Kişisel verileri toplama gibi tehlikeli yeteneklere sahip olduğu belirtiliyor.
Bununla da kalmıyor. Uzmanlar özellikle yazılımın kendini koruma mekanizmasına dikkat çekiyor. Yani kullanıcı fark etse bile iş işten geçmiş olabilir.
PromptSpy, sistemdeki “Kaldır” ya da “Durmaya zorla” butonlarının üzerine görünmez katmanlar yerleştiriyor. Böylece kullanıcı uygulamayı silmek istediğinde aslında butona basamıyor. Ekranda her şey normal görünüyor ama işlem gerçekleşmiyor.
Zararlı yazılımın, Morgan Chase bankasını taklit eden “MorganArg” adlı bir uygulama üzerinden yayıldığı tespit edildi. Bu uygulama resmi Google Play mağazasında yer almıyor. Özel bir web sitesi aracılığıyla dağıtılıyor.
Yani aslında klasik bir yöntem: Güvenilir görünen bir uygulama, ama arka planda bambaşka bir hikâye.
PromptSpy, görünmez katmanlarla kaldırma işlemini engellediği için uygulamayı silmenin tek yolu cihazı Güvenli Mod’da yeniden başlatmak.
Güvenli Mod’da üçüncü taraf uygulamalar devre dışı kalıyor. Böylece kullanıcılar Uygulamalar menüsüne girip zararlı yazılımı kaldırabiliyor.
Google Play
App Store