كشف باحثون في شركة الأمن السيبراني ESET عن أول برمجية خبيثة لنظام أندرويد تدمج تقنيات الذكاء الاصطناعي التوليدي ضمن آلية عملها، في خطوة تمثل تطورًا جديدًا في مشهد التهديدات الرقمية على الأجهزة المحمولة.
البرمجية، التي أُطلق عليها اسم PromptSpy، تستفيد من نموذج Gemini من جوجل لتحليل عناصر واجهة المستخدم على الشاشة والتفاعل معها ديناميكيًا، بهدف تثبيت نفسها على الجهاز المصاب ومنع إزالتها بسهولة.
ويمثل هذا الاكتشاف مؤشرًا على بدء توظيف أدوات الذكاء الاصطناعي التجارية في تطوير برمجيات خبيثة أكثر تكيفًا ومرونة.
كيف تعمل برمجية PromptSpy؟
تعتمد PromptSpy على أسلوب غير تقليدي في التنقل داخل النظام.
فبدلًا من استخدام سكربتات ثابتة تعتمد على تصميم شاشة محدد، تقوم البرمجية بما يلي:
ترسل إلى نموذج Gemini وصفًا نصيًا (Prompt) مرفقًا بملف XML يحتوي على البنية الكاملة لعناصر واجهة المستخدم المعروضة على الشاشة.
يقوم النموذج بتحليل الواجهة وإرجاع تعليمات بصيغة JSON تتضمن إحداثيات دقيقة على الشاشة.
تستخدم البرمجية هذه الإحداثيات لتنفيذ أوامر عبر خدمة “إمكانية الوصول” (Accessibility Services) في أندرويد، وهي ميزة مخصصة لمساعدة ذوي الاحتياجات الخاصة لكنها تُستغل أحيانًا في الهجمات.
أحد أبرز استخدامات الذكاء الاصطناعي هنا هو مساعدة البرمجية على تثبيت نفسها ضمن قائمة التطبيقات الحديثة، عبر تفعيل خيار “التثبيت” الذي يظهر عادةً كرمز قفل في بعض واجهات أندرويد، ما يمنع المستخدم من إغلاقها بسهولة.
لماذا يُعد هذا التطور مهمًا؟
أحد التحديات التقليدية أمام برمجيات أندرويد الخبيثة هو تنوع الأجهزة وأحجام الشاشات وإصدارات النظام.
الاعتماد على سكربتات ثابتة يعني أن البرمجية قد تفشل في العمل على بعض الأجهزة.
باستخدام الذكاء الاصطناعي التوليدي، يمكن للبرمجية:
التكيف مع أي تخطيط واجهة تقريبًا
العمل على إصدارات مختلفة من النظام
توسيع نطاق الضحايا المحتملين
ووفقًا للباحث Lukáš Štefanko من ESET، فإن هذا الأسلوب يمنح المهاجمين قدرة أكبر على أتمتة عمليات كانت تتطلب في السابق برمجة دقيقة لكل سيناريو.
ما الوظيفة الأساسية للبرمجية؟
الهدف الرئيسي لـ PromptSpy هو تثبيت وحدة تحكم عن بُعد تعتمد على تقنية Virtual Network Computing (VNC)، ما يمنح المهاجمين وصولًا كاملاً إلى الجهاز المصاب.
عبر هذه القناة يمكن للمهاجمين:
التقاط كلمات مرور شاشة القفل
تسجيل الشاشة كفيديو
اعتراض أنماط القفل
التقاط لقطات شاشة عند الطلب
ويتم تأمين الاتصال بين الجهاز وخادم التحكم باستخدام تشفير AES.
كيف يتم توزيع البرمجية؟
تم رصد توزيع PromptSpy عبر موقع تصيد احتيالي ينتحل صفة بنك JPMorgan Chase، حيث حمل التطبيق اسم “MorganArg”، في إشارة يُعتقد أنها ترتبط بالأرجنتين.
المجالات المستخدمة في التوزيع أُغلقت لاحقًا، ولم تظهر البرمجية على متجر Google Play.
تحليل الشيفرة كشف وجود سلاسل تصحيح (Debug Strings) باللغة الصينية المبسطة، ما يشير إلى احتمال تطويرها في بيئة ناطقة بالصينية، بينما استهدفت الحملة مستخدمين في الأرجنتين.
كيف تمنع البرمجية إزالتها؟
تقوم PromptSpy بإنشاء طبقات غير مرئية فوق أزرار إزالة التثبيت، بحيث يتم اعتراض نقرات المستخدم ومنع تنفيذ العملية.
الطريقة الوحيدة لإزالتها هي:
إعادة تشغيل الجهاز في “الوضع الآمن” (Safe Mode)،
ثم حذف التطبيق يدويًا، حيث يتم تعطيل تطبيقات الجهات الخارجية في هذا الوضع.
هل يشير ذلك إلى اتجاه أوسع؟
يأتي هذا الاكتشاف بعد أشهر من رصد ESET لأول برنامج فدية يعتمد على الذكاء الاصطناعي التوليدي، ما يعكس تسارع تبني المجرمين لهذه التقنيات.
ورغم أن PromptSpy يستخدم Gemini في جزء محدود من وظائفه، فإن التجربة تُظهر كيف يمكن للذكاء الاصطناعي أن يجعل البرمجيات الخبيثة أكثر ديناميكية وأقل اعتمادًا على تصميمات ثابتة.
حتى الآن، لم تُسجل ESET انتشارًا واسعًا للبرمجية، ما يرجح أنها إما في مرحلة اختبار أو ضمن نطاق محدود.
وتؤكد جوجل أن أجهزة أندرويد المزودة بخدمات Google Play محمية عبر Play Protect، الذي يحظر الإصدارات المعروفة من البرمجية.
ماذا يعني ذلك للمستخدمين؟
هذا التطور لا يعني أن الذكاء الاصطناعي بحد ذاته يمثل تهديدًا، لكنه يبرز كيف يمكن إساءة استخدامه.
لحماية جهازك:
تجنب تحميل التطبيقات من خارج المتاجر الرسمية
تحقق من صلاحيات إمكانية الوصول قبل منحها لأي تطبيق
حافظ على تحديث النظام
استخدم حماية Play Protect
