Ce s-a întâmplat ? Mass-media, precum Bleeping Computer, avertizează despre un nou și periculos software malware pentru Android. Acesta a fost descoperit ascuns în jocuri aparent inofensive, distribuite prin GetApps, magazinul de aplicații Xiaomi, precum și în depozitele de fișiere APK modificate.
După ce incidentul a devenit cunoscut, Xiaomi a declarat pentru Xataka Móvil: „Xiaomi a fost informată cu privire la rapoartele referitoare la anumite aplicații malware. Aceasta nu a fost o acțiune din partea Xiaomi și nu tolerăm comportamentul dăunător sau înșelător pe platformele noastre. Conștientizând problema, Xiaomi a început imediat o anchetă internă și a eliminat aplicațiile menționate mai sus, precum și toate aplicațiile publicate de dezvoltatorul respectiv”.
Cum funcționează . Funcționează silențios: operează într-un mod numit „Fantomă”. Virusul deschide browserul Android încorporat (WebView) fără ca utilizatorul să-l vadă, încarcă site-uri web cu reclame și utilizează un model de inteligență artificială antrenat să analizeze capturi de ecran în timp real.
Inteligența artificială determină locația butoanelor publicitare, a linkurilor și a butoanelor de închidere, ocolind mijloacele de protecție detectate de roboții tradiționali. Acesta este, fără îndoială, un pas uriaș înainte în lupta împotriva software-ului rău intenționat.
De ce este important . Până acum, atacatorii foloseau de obicei scripturi JavaScript simple. Cu toate acestea, folosind TensorFlow, ei schimbă regulile jocului: au acces la un instrument foarte puternic. Acest lucru confirmă ceea ce comunitatea avertiza de ceva timp : API-urile AI au capacități care pot fi folosite în scopuri abuzive.
Un studiu recent, prezentat la simpozionul IEEE privind securitatea, a demonstrat cum modelele AI pot fi transformate în software rău intenționat (atacul TensorAbuse) prin utilizarea funcțiilor TensorFlow pentru citirea fișierelor sau executarea codului, nedetectabile de software-ul antivirus modern. Acest troian este întruchiparea problemelor tehnice menționate.
Controlul de la distanță . Complexitatea nu se oprește aici. Cercetătorii au descoperit un al doilea mod de funcționare al programului malware: dacă AI nu poate rezolva problema, programul malware utilizează WebRTC pentru transmiterea în flux a videoclipurilor de pe ecranul browserului . Acest lucru permite derularea, apăsarea sau tastarea, ca și cum utilizatorul ar ține telefonul în mâini.
Risc . Deși scopul este de a înșela rețelele publicitare (ceea ce nu duce la furtul datelor bancare), impactul asupra utilizatorului este altul: descărcarea rapidă a bateriei și consumul pasiv de trafic mobil în fundal, totul din cauza proceselor modelului.
În plus, acest lucru demonstrează că barierele pentru crearea de programe malware complexe au scăzut: instrumentele destinate optimizării aplicațiilor sunt acum utilizate pentru a crea amenințări mult mai durabile. Așa cum spunem întotdeauna, este mai bine să vă feriți de sursele neoficiale de aplicații.
