प्रॉम्प्टस्पाई: वह एंड्रॉइड मैलवेयर जिसने एक एआई सहायक को काम पर रखा

और हां, गूगल के जेमिनी एआई को इस बात का जरा भी अंदाजा नहीं था कि वह बुरे लोगों के लिए काम कर रहा है।

मैलवेयर हमेशा एक तय स्क्रिप्ट का पालन करता आया है। इसमें स्पष्ट, निश्चित और सटीक निर्देश होते हैं जो इसे बताते हैं कि कहाँ से हमला करना है, क्या चुराना है और कैसे छिपना है। वर्षों तक, यही कठोरता इसकी कमजोरी भी साबित हुई। स्क्रीन लेआउट बदलने, ऑपरेटिंग सिस्टम अपडेट करने या भाषा बदलने से ही मैलवेयर काम करना बंद कर देता था। हमलावरों को हर बदलाव के लिए कोड दोबारा लिखना पड़ता था। यह महंगा, धीमा और सच कहूँ तो, उनके लिए थोड़ा थकाने वाला काम था।

फिर किसी को एक विचार आया।

क्या होगा यदि मैलवेयर एक निर्धारित स्क्रिप्ट का पालन करना बंद कर दे और आगे क्या करना है यह पूछने के लिए एआई से पूछना शुरू कर दे?

प्रॉम्प्टस्पाय ठीक यही काम करता है।

एंड्रॉइड मैलवेयर का एक संक्षिप्त इतिहास

संदर्भ के लिए, एंड्रॉइड मैलवेयर परंपरागत रूप से एक खराब जीपीएस की तरह काम करता था जिसमें गंतव्य पहले से ही निर्धारित होता था। इसे पता होता था कि कौन से बटन दबाने हैं क्योंकि किसी मानव हमलावर ने उन निर्देशांकों को पहले से ही निर्धारित कर रखा होता था। क्या आपके पास चेज़ बैंक की स्क्रीन वाला एंड्रॉइड 14 पर चलने वाला पिक्सेल 7 है? कोड को टैप निर्देशांक (312, 847) पता थे। क्या आपके पास थोड़ा अलग लेआउट वाला सैमसंग गैलेक्सी S23 है? मैलवेयर या तो अतिरिक्त कोड के साथ अनुकूलित हो जाता था, या विफल हो जाता था।

हर नए डिवाइस, भाषा या ऑपरेटिंग सिस्टम के नए संस्करण के साथ कोडिंग की संख्या भी बढ़ जाती थी। हमलावरों को हर स्थिति के लिए अलग-अलग आक्रमण योजनाएँ बनानी पड़ती थीं। यह एक तरह से बड़े पैमाने पर ब्रूट-फोर्स प्रोग्रामिंग थी।

PromptSpy ने उस मॉडल को पूरी तरह से हटा दिया। यहीं से आपके व्यवसाय के लिए दिलचस्प बात शुरू होती है।

प्रॉम्प्टस्पाई वास्तव में क्या करता है

ESET शोधकर्ता लुकास स्टेफ़ान्को और उनकी टीम ने पहचान की प्रॉम्प्टस्पाई गूगल के जेमिनी एआई का सक्रिय रूप से उपयोग करने वाला पहला ज्ञात एंड्रॉइड मैलवेयर होने के नाते।यह इसकी आक्रमण रणनीति का हिस्सा है।यह कोई दिखावा या पार्टी का करतब नहीं है, बल्कि इसके संचालन का एक मुख्य कार्यात्मक घटक है।

यहां चरण दर चरण प्रक्रिया दी गई है।

यह मैलवेयर आपकी स्क्रीन पर मौजूद हर चीज़ का पूरा XML स्नैपशॉट ले लेता है। इस स्नैपशॉट में टेक्स्ट, बटन के प्रकार और उनकी सटीक स्थिति सहित हर दिखाई देने वाला एलिमेंट शामिल होता है। यह स्नैपशॉट जेमिनी को भेजता है, साथ ही एक हार्डकोडेड प्रॉम्प्ट भी भेजता है जो खुद को "एंड्रॉइड ऑटोमेशन असिस्टेंट" के रूप में पेश करता है। जेमिनी, यह जाने बिना कि वह मैलवेयर से बात कर रहा है, स्क्रीन डेटा को प्रोसेस करता है और संरचित JSON निर्देश लौटाता है: यहाँ टैप करें, वहाँ स्वाइप करें, यह दर्ज करें। मैलवेयर इन निर्देशों को निष्पादित करता है।

कोई हार्डकोडेड कोऑर्डिनेट नहीं। कोई डिवाइस-विशिष्ट कोड नहीं। लेआउट संबंधी कोई कमजोर धारणा नहीं। एआई स्क्रीन को पढ़ता है और मैलवेयर को बताता है कि क्या करना है, और यह लगभग किसी भी एंड्रॉइड डिवाइस पर काम करता है जिस पर यह पहुंचता है।

यह अनुकूलनीय मैलवेयर है। एआई एक ऐसे मस्तिष्क की तरह काम करता है जो किसी भी हैकर की तुलना में कहीं अधिक तेज़ी से कार्य करता है।

दृढ़ता की समस्या

PromptSpy एंड्रॉइड मैलवेयर का एक गंभीर रूप है। यह चुपके से गायब नहीं हो जाता, बल्कि आपके घर में घुसकर उसे अपना हिस्सा बना लेता है और स्टार्टअप प्रक्रियाओं में खुद को स्थापित कर लेता है।

प्रॉम्प्टस्पाई का मुख्य उद्देश्य निरंतरता बनाए रखना है, यानी यह आपके डिवाइस पर तब भी मौजूद रहना चाहता है जब आप इसे हटाना चाहते हों। यह शोर नहीं मचाता, बल्कि गहराई से जम जाता है।

यह जेमिनी का उपयोग करके यह पता लगाता है कि इसे आपकी हालिया ऐप्स सूची में कैसे पिन करके रखा जाए ताकि आप इसे आसानी से स्वाइप करके हटा न सकें। यह एंड्रॉइड की एक्सेसिबिलिटी सर्विसेज का भी फायदा उठाता है, जो विकलांग लोगों को अपने डिवाइस को नियंत्रित करने में मदद करने के लिए डिज़ाइन की गई सुविधाओं का एक समूह है। हमलावरों को ये सुविधाएँ बहुत पसंद आती हैं क्योंकि ये ऐप्स को उपयोगकर्ता के इनपुट के बिना टैप करने, स्क्रीन सामग्री पढ़ने और सामान्य ऐप इंटरफेस के ऊपर अदृश्य ओवरले जोड़ने की अनुमति देती हैं।

PromptSpy अनइंस्टॉलेशन को रोकने के लिए अदृश्य ओवरले का उपयोग करता है। यदि आप इसे सामान्य तरीके से हटाने का प्रयास करते हैं, तो ओवरले आपके टैप को बाधित कर देता है। यह चुपचाप हटाने का विरोध करता है। इसे हटाने का एकमात्र विश्वसनीय तरीका एंड्रॉइड सेफ मोड में रीबूट करना है, जहां तृतीय-पक्ष ऐप्स नहीं चल सकते, और वहां से इसे अनइंस्टॉल करना है। अधिकांश लोगों ने ऐसा कभी नहीं किया है, और अधिकांश लोगों को इसके अस्तित्व के बारे में पता भी नहीं है।

यह क्या चुराता है

यह कोई हल्का-फुल्का जासूसी सॉफ्टवेयर नहीं है। प्रॉम्प्टस्पाई:

• यह आपके लॉक स्क्रीन पिन या पासवर्ड को कैप्चर करता है।
• यह आपकी स्क्रीन को लाइव वीडियो के रूप में रिकॉर्ड करता है।
• आवश्यकता पड़ने पर स्क्रीनशॉट लेता है
• यह आपके डिवाइस की विशिष्ट जानकारी एकत्र करता है।
• इसमें अंतर्निहित VNC मॉड्यूल के माध्यम से हमलावरों को दूरस्थ नियंत्रण की अनुमति मिलती है।

उस VNC मॉड्यूल पर ध्यान देना ज़रूरी है। यह हमलावर के कमांड-एंड-कंट्रोल सर्वर से जुड़ता है और किसी अपराधी को आपके फ़ोन तक सीधी पहुँच प्रदान करता है। आपके बैंकिंग ऐप्स, आपके MFA कोड, आपका कॉर्पोरेट ईमेल, आपका पासवर्ड मैनेजर - सब कुछ किसी और के द्वारा देखा और नियंत्रित किया जा सकता है।

यह लोगों तक कैसे पहुंचता है

PromptSpy गूगल प्ले पर मौजूद नहीं है। यह विशेष रूप से mgardownload[.]com और m-mgarg[.]com जैसी दुर्भावनापूर्ण वेबसाइटों के माध्यम से फैलता है। यह अभियान "MorganArg" उपनाम से जेपी मॉर्गन चेस का रूप धारण करता है। ऐसा प्रतीत होता है कि यह अर्जेंटीना के उपयोगकर्ताओं पर केंद्रित है। फिलहाल तो यही सच है। दुनिया के एक कोने में जो चीज सफल होती है, वह उतनी ही तेजी से फैलती है, जैसे आपके घर से दूर रहने पर किसी के घर में पार्टी की खबर फैल जाती है और आपके तहखाने में रहने वाले को इसकी जानकारी हो जाती है।

संक्रमण की शुरुआत ड्रॉपर ऐप से होती है। ड्रॉपर अज्ञात स्रोतों से ऐप्स इंस्टॉल करने की अनुमति मांगता हैअनुमति मिलने के बाद, यह स्पेनिश भाषा में छिपे हुए असली दुर्भावनापूर्ण APK को एक वैध बैंक अपडेट के रूप में डाउनलोड कर लेता है। ESET को कोड में सरलीकृत चीनी डीबग स्ट्रिंग्स मिलीं, जो इस ओर इशारा करती हैं कि मैलवेयर को चीनी भाषी वातावरण में विकसित किया गया है। इसका मकसद वित्तीय लाभ प्रतीत होता है।

Google Play Protect, Play Store के बाहर भी PromptSpy के ज्ञात संस्करणों को चिह्नित और ब्लॉक करता है। यह जानना ज़रूरी है। हालांकि, यहाँ मुख्य बात यह नहीं है कि यह संस्करण कैसे फैलता है, बल्कि यह है कि यह तकनीक भविष्य में क्या संभव बना सकती है।

इस अभियान से परे एआई का पहलू क्यों मायने रखता है?

पारंपरिक मैलवेयर स्क्रीन लेआउट बदलने पर काम करना बंद कर देते हैं। प्रॉम्प्टस्पाई में ऐसा नहीं होता। यह बिना किसी मानवीय हस्तक्षेप के तुरंत अनुकूलित हो जाता है!

हर एंड्रॉयड डिवाइस, हर ऑपरेटिंग सिस्टम, हर ऐप इंटरफ़ेस, हर भाषा मैलवेयर का संभावित निशाना बन सकती है क्योंकि मैलवेयर मेमोरी के आधार पर काम नहीं कर रहा है। यह लाइव एआई विश्लेषण के आधार पर काम कर रहा है। हमलावरों को अब हर डिवाइस कॉन्फ़िगरेशन के लिए अलग से कोड लिखने की ज़रूरत नहीं है। वे यह निर्णय लेने का काम एक ऐसे मॉडल को सौंप देते हैं जो स्क्रीन पर दिखने वाली हर जानकारी को प्रोसेस करता है।

इससे हमलावरों की पहुंच का दायरा बढ़ जाता है। साथ ही, मैलवेयर बनाना सस्ता और तेज़ हो जाता है। कृत्रिम बुद्धिमत्ता (AI) इन सभी जटिलताओं को संभाल लेती है। हमलावरों को बिना मेहनत किए ही परिणाम मिल जाते हैं।

इस कहानी में जेमिनी खलनायक नहीं है। उसे इस बात का ज़रा भी अंदाज़ा नहीं था कि उसका इस तरह इस्तेमाल किया जा रहा है। दुरुपयोग पूरी तरह से मैलवेयर द्वारा प्रॉम्प्ट को तैयार करने के तरीके के कारण हुआ। लेकिन परिणाम स्पष्ट है: लोगों की मदद के लिए बनाई गई कृत्रिम बुद्धिमत्ता का इस्तेमाल, उसकी जानकारी के बिना, उन्हें नुकसान पहुंचाने के एक उपकरण के रूप में किया जा रहा है।

यह तनाव लगातार बना रहेगा। रक्षक उपयोगकर्ताओं की सुरक्षा के लिए एआई उपकरण बनाते हैं, और हमलावर उनका फायदा उठाने के लिए एआई उपकरण बनाते हैं। तकनीक तो तटस्थ है, लेकिन इरादा नहीं।

चार चीजें जो आपके व्यवसाय को अभी करनी चाहिए

ये सुझाव व्यावहारिक, किफायती हैं और इसके लिए किसी एंटरप्राइज सिक्योरिटी टीम की आवश्यकता नहीं है।

अपने सभी ऑफिस फोन पर अज्ञात स्रोतों से इंस्टॉलेशन बंद कर दें। यह एक सेटिंग प्रॉम्प्टस्पाई और अधिकांश उन्नत एंड्रॉइड मैलवेयर द्वारा उपयोग किए जाने वाले डिलीवरी मेथड को ब्लॉक कर देती है। एंड्रॉइड पर, सेटिंग्स में जाएं, फिर ऐप्स, फिर स्पेशल ऐप एक्सेस, फिर इंस्टॉल अननोन ऐप्स पर जाएं। उस सूची में किसी भी ऐप को अनुमति नहीं होनी चाहिए जब तक कि आपने उसे विशेष रूप से वहां न रखा हो।

यह जांच करें कि किन ऐप्स के पास एक्सेसिबिलिटी अनुमतियां हैं। सेटिंग्स, एक्सेसिबिलिटी में जाएं और देखें कि कौन-कौन से ऐप्स सूचीबद्ध हैं। बैंकिंग ऐप्स, ब्राउज़र और हेल्थ ऐप्स को इन अनुमतियों को रखने का कोई वैध कारण नहीं है। किसी भी संदिग्ध अनुमति को रद्द कर दें।

फोन को लैपटॉप की तरह समझें। आपकी टीम के फ़ोन में कॉर्पोरेट ईमेल, वीपीएन एक्सेस, एमएफए ऐप्स और पासवर्ड मैनेजर मौजूद हैं। यदि आप अपने लैपटॉप को एंडपॉइंट सुरक्षा से सुरक्षित रखते हैं और फ़ोन को नज़रअंदाज़ करते हैं, तो यह कमी साफ़ दिखती है और हमलावर इसे जानते हैं। बुनियादी मोबाइल डिवाइस मैनेजमेंट टूल छोटे और मध्यम आकार के व्यवसायों के लिए किफायती दरों पर उपलब्ध हैं, जिनमें Google Workspace और Microsoft 365 के मुफ़्त विकल्प शामिल हैं, जिनके लिए अधिकांश व्यवसाय पहले से ही भुगतान करते हैं।

अपनी टीम को वित्तीय संस्थानों से आने वाले अत्यावश्यक ऐप अपडेट पर सवाल उठाने के लिए प्रशिक्षित करें। PromptSpy ने बैंक अपडेट का रूप धारण करके अपना प्रसार किया। यह मोबाइल के लिए अनुकूलित एक क्लासिक सोशल इंजीनियरिंग पैटर्न है। अपने कर्मचारियों को एक नियम सिखाएं: असली बैंक अपडेट आधिकारिक ऐप स्टोर के माध्यम से जारी करते हैं, न कि संदेशों में दिए गए लिंक या वेबसाइटों पर पॉप-अप प्रॉम्प्ट के माध्यम से।

कहानी अभी भी लिखी जा रही है और इसे अक्सर अपडेट किया जाएगा।

प्रॉम्प्टस्पाई मैलवेयर में एआई के इस्तेमाल की कहानी का अंत नहीं है। यह तो शुरुआत है। यह तकनीक कारगर है, इसे बड़े पैमाने पर लागू किया जा सकता है, और इससे अनुकूलनीय हमलों को तैयार करने की लागत और जटिलता कम हो जाती है। अन्य हमलावर भी इस पर ध्यान दे रहे हैं और इस विचार को अपनाकर इसे और विकसित करेंगे। आपके तहखाने में रहने वाले किसी व्यक्ति ने यह बात अपने दोस्त से सुनी और वापस घर आ गया। बस इतना ही।

अच्छी खबर यह है कि इस हमले से बचाव के लिए वही बुनियादी उपाय हैं जो आपको अधिकांश खतरों से बचाते हैं। इंस्टॉल की जाने वाली चीज़ों को सीमित करें। ऐप्स को दी गई अनुमतियों की समीक्षा करें। अपने फ़ोन को अपने कंप्यूटर जितना ही गंभीरता से लें। अपने कर्मचारियों को प्रशिक्षित करें कि मोबाइल पर फ़िशिंग का क्या रूप होता है।

अपने संगठन को इससे बचाने के लिए आपको प्रॉम्प्टस्पाई की कार्यप्रणाली की हर तकनीकी बारीकी को समझने की आवश्यकता नहीं है। बस आपको अपने फोन को गंभीरता से लेना होगा। यहीं से शुरुआत करें, और आप पहले से ही अधिकांश छोटे व्यवसायों से आगे निकल जाएंगे।

यह कोई छोटी बात नहीं है। यह प्रगति है।

साइबरहूट की आज की टिप

अभी अपना फ़ोन निकालें, सेटिंग्स में जाएँ, एक्सेसिबिलिटी खोजें और देखें कि किन-किन ऐप्स को एक्सेस दिया गया है। अगर आपको कुछ ऐसा दिखे जिसे आप नहीं पहचानते, तो उसे रद्द कर दें। इसमें सिर्फ़ साठ सेकंड लगते हैं और कोई शुल्क नहीं लगता। ये साठ सेकंड सही तरीके से खर्च करने से आपको वो सुरक्षा मिलती है जो पहले आपके पास नहीं थी।

हंसो। सीखो। खूब शोर मचाओ।

---

अतिरिक्त संसाधन

• हैकर न्यूज़: प्रॉम्प्टस्पाई एंड्रॉइड मैलवेयर जेमिनी एआई का दुरुपयोग करके हाल ही में उपयोग किए गए ऐप्स की निरंतरता को स्वचालित करता है

---

साइबरहूट के साथ आज ही अपना व्यवसाय सुरक्षित करें!