کشف نخستین بدافزار اندرویدی که در لحظه «فکر می‌کند»

کمیته رکن چهارم – پژوهشگران امنیتی از کشف نمونه‌ای خبر داده‌اند که می‌تواند نقطه عطفی در تکامل بدافزارهای موبایلی باشد: یک بدافزار اندرویدی که در جریان اجرای خود از هوش مصنوعی مولد استفاده می‌کند و با کمک مدل Gemini گوگل، رفتار خود را با هر دستگاه تطبیق می‌دهد.

به گزارش کمیته رکن چهارم، این خانواده جدید که توسط شرکت ESET شناسایی شده، PromptSpy نام دارد. نسخه اولیه آن با نام VNCSpy در ژانویه ۲۰۲۶ در VirusTotal ظاهر شد و کمی بعد نمونه‌های پیشرفته‌تری از آن مشاهده شد. اما آنچه این بدافزار را از دیگر تهدیدات اندرویدی متمایز می‌کند، نه فقط قابلیت‌های جاسوسی آن، بلکه استفاده مستقیم از یک مدل هوش مصنوعی در منطق اجرایی‌اش است.

هوش مصنوعی داخل بدافزار

تا امروز، مهاجمان از هوش مصنوعی برای نوشتن ایمیل‌های فیشینگ یا تولید کد مخرب استفاده می‌کردند. اما PromptSpy یک گام جلوتر رفته است: این بدافزار در حین اجرا با مدل Gemini ارتباط برقرار می‌کند تا بفهمد دقیقاً چگونه باید روی هر دستگاه اندرویدی ماندگار شود.

در بسیاری از گوشی‌های اندرویدی، کاربران می‌توانند یک برنامه را در فهرست Recent Apps «پین» کنند تا هنگام پاک‌سازی حافظه بسته نشود. این قابلیت برای برنامه‌های عادی مفید است؛ اما برای یک بدافزار، به معنای ماندگاری دائمی در پس‌زمینه است.

مشکل اینجاست که روش پین کردن برنامه در برندها و نسخه‌های مختلف اندروید متفاوت است. اسکریپت‌نویسی یک راهکار ثابت برای همه دستگاه‌ها تقریباً غیرممکن است. PromptSpy این چالش را با کمک Gemini حل می‌کند.

بدافزار نمایی از صفحه فعلی دستگاه را به‌صورت یک دامپ XML — شامل عناصر رابط کاربری، متن دکمه‌ها و مختصات — برای مدل ارسال می‌کند. Gemini در پاسخ، دستورالعمل‌هایی ساختاریافته تولید می‌کند که توضیح می‌دهد کدام دکمه باید لمس شود و چه مسیری طی شود تا برنامه قفل شود. بدافزار این مراحل را از طریق سرویس Accessibility اجرا می‌کند و در صورت نیاز، دوباره از مدل راهنمایی می‌گیرد تا زمانی که عملیات موفق شود.

به بیان ساده، بدافزار به‌جای داشتن یک اسکریپت ثابت، «می‌پرسد چه کار کنم؟» و پاسخ را اجرا می‌کند.

یک جاسوس کامل در جیب کاربر

با وجود نوآوری هوش مصنوعی، ماهیت PromptSpy همچنان یک جاسوس‌افزار پیشرفته است. این بدافزار دارای ماژول VNC داخلی است که در صورت دریافت مجوزهای لازم، امکان مشاهده و کنترل زنده صفحه دستگاه را برای مهاجم فراهم می‌کند.

طبق تحلیل ESET، PromptSpy می‌تواند فهرست برنامه‌های نصب‌شده را استخراج کند، PIN یا گذرواژه قفل صفحه را رهگیری کند، الگوی بازگشایی را ضبط ویدیویی کند، اسکرین‌شات بگیرد و فعالیت‌های کاربر را ثبت کند. در عمل، مهاجم می‌تواند همان چیزی را ببیند که کاربر می‌بیند — و حتی بیشتر.

ترفندهای ضدحذف

برای سخت‌تر کردن حذف، بدافزار هنگام تلاش کاربر برای غیرفعال‌سازی یا حذف برنامه، لایه‌های نامرئی روی دکمه‌هایی مانند «Uninstall» قرار می‌دهد. کاربر تصور می‌کند روی گزینه حذف کلیک کرده، اما در واقع روی یک عنصر مخفی ضربه می‌زند و عملیات بی‌نتیجه می‌ماند.

تنها راه اطمینان‌بخش برای حذف، راه‌اندازی دستگاه در Safe Mode است؛ حالتی که برنامه‌های شخص ثالث را موقتاً غیرفعال می‌کند.

تهدید واقعی یا آزمایش فنی؟

ESET اعلام کرده هنوز شواهد گسترده‌ای از استفاده عملی این بدافزار در حملات سازمان‌یافته مشاهده نشده و ممکن است با یک نمونه محدود یا حتی اثبات مفهوم مواجه باشیم. با این حال، نشانه‌هایی از توزیع آن از طریق دامنه‌های مشکوک و حتی جعل هویت یک وب‌سایت بانکی دیده شده است.

حتی اگر دامنه انتشار آن محدود باشد، پیام این کشف روشن است: هوش مصنوعی حالا فقط ابزار تولید محتوا نیست، بلکه می‌تواند به بخشی از منطق تصمیم‌گیری بدافزار تبدیل شود.

آغاز نسل جدید بدافزارها؟

ادغام مدل‌های مولد در بدافزارها می‌تواند معادلات امنیت موبایل را تغییر دهد. اگر بدافزارها بتوانند به‌صورت پویا با محیط سازگار شوند، نوشتن امضاهای ثابت یا تکیه بر الگوهای رفتاری شناخته‌شده دشوارتر خواهد شد.

PromptSpy شاید هنوز گسترده نباشد، اما نشان می‌دهد مهاجمان در حال آزمایش مسیری تازه‌اند؛ مسیری که در آن بدافزارها دیگر فقط اجرا نمی‌شوند — بلکه «یاد می‌گیرند» چگونه بهتر پنهان شوند.