PromptSpy มัลแวร์แอนดรอยด์ใช้ AI คิดเองระหว่างโจมตี
นักวิจัยด้านความปลอดภัยไซเบอร์เปิดเผยการค้นพบมัลแวร์ Android สายพันธุ์ใหม่ชื่อ PromptSpy ซึ่งถูกระบุว่าเป็นกรณีแรกที่มัลแวร์บนระบบ Android นำเทคโนโลยี Generative AI มาใช้งานจริงระหว่างการทำงานไม่ใช่แค่ใช้วิเคราะห์ข้อมูลเบื้องหลังเหมือนในอดีต การพัฒนานี้สะท้อนให้เห็นว่าภัยคุกคามไซเบอร์กำลังก้าวเข้าสู่ยุคใหม่ ที่มัลแวร์สามารถ “ปรับตัว” ได้แบบไดนามิกตามสภาพแวดล้อมของเครื่องเหยื่อ
รายงานจากนักวิจัยของ ESET ระบุว่า PromptSpy ใช้โมเดล AI อย่าง Google Gemini เข้ามาเป็นส่วนหนึ่งของกระบวนการโจมตี เพื่อช่วยให้มัลแวร์สามารถอยู่รอดบนอุปกรณ์ได้ยาวนานขึ้น และทำงานได้แม้บนสมาร์ตโฟน Android ที่มีความแตกต่างกันทั้งผู้ผลิต รุ่นเครื่อง และเวอร์ชันระบบปฏิบัติการ
โดยปกติแล้ว มัลแวร์ Android มักใช้วิธีเขียนคำสั่งแบบตายตัว เช่น กำหนดตำแหน่งหน้าจอหรือปุ่มไว้ล่วงหน้า แต่แนวทางนี้มักล้มเหลวเมื่อเจออุปกรณ์ที่มีหน้าตาอินเทอร์เฟซแตกต่างกัน อย่างไรก็ตาม PromptSpy เปลี่ยนเกมนี้ทั้งหมด
มัลแวร์ตัวนี้จะส่งข้อมูลหน้าจอของเครื่องที่ติดเชื้อไปยัง AI แล้วให้โมเดล Gemini วิเคราะห์ ก่อนส่งคำแนะนำกลับมาในรูปแบบคำสั่ง เพื่อบอกว่าควรทำอะไรต่อ เช่น วิธี “ล็อก” แอปให้อยู่ในรายการ Recent Apps ซึ่งทำให้ระบบ Android ปิดแอปได้ยากขึ้น ส่งผลให้มัลแวร์สามารถทำงานเบื้องหลังต่อเนื่องได้
ควบคุมเครื่องได้เกือบทั้งหมด
แม้การใช้ AI จะเป็นจุดที่สร้างความฮือฮา แต่หน้าที่หลักของ PromptSpy ยังคงเป็นสปายแวร์เต็มรูปแบบ โดยมัลแวร์มีโมดูล VNC ฝังอยู่ภายใน เปิดทางให้ผู้โจมตีเข้าควบคุมอุปกรณ์จากระยะไกลได้โดยตรง
เมื่อผู้ใช้เผลอให้สิทธิ์ Accessibility Service แล้ว ผู้โจมตีสามารถดูหน้าจอแบบเรียลไทม์ บันทึกกิจกรรมผู้ใช้ จับภาพหน้าจอ ตรวจสอบแอปที่ติดตั้ง รวมถึงพยายามดักข้อมูลล็อกหน้าจอหรือรหัสผ่านได้ นอกจากนี้ยังมีความสามารถขัดขวางการถอนการติดตั้ง เพื่อยืดเวลาการฝังตัวในเครื่องให้นานที่สุด
นักวิจัยพบว่ามัลแวร์ถูกปลอมตัวเป็นแอปธนาคาร แม้ยังไม่พบการแพร่ระบาดในวงกว้าง แต่การมีโครงสร้างการโจมตีครบถ้วน บ่งชี้ว่าไม่ได้เป็นเพียงแนวคิดทดลอง แต่เป็นการเตรียมไว้สำหรับการโจมตีจริง