Μια ανησυχητική εξέλιξη στον κυβερνοχώρο έρχεται να επιβεβαιώσει τους φόβους των ειδικών ασφαλείας: οι εγκληματίες του διαδικτύου δεν αρκούνται πλέον σε απλούς κώδικες ιών, αλλά επιστρατεύουν τη μηχανική μάθηση για να ξεγελάσουν τόσο τους χρήστες όσο και τα συστήματα προστασίας. Μια νέα γενιά κακόβουλου λογισμικού στο Android χρησιμοποιεί πλέον ανοιχτού κώδικα βιβλιοθήκες AI για να διαπράξει απάτες με διαφημίσεις, ανοίγοντας παράλληλα «κερκόπορτες» για πλήρη έλεγχο της συσκευής από τρίτους.
Η ανακάλυψη που αλλάζει τα δεδομένα
Ερευνητές της εταιρείας κυβερνοασφάλειας Dr. Web εντόπισαν μια νέα κατηγορία trojan, η οποία διαφοροποιείται από οτιδήποτε έχουμε δει μέχρι σήμερα στη μαζική κυκλοφορία. Ενώ τα παραδοσιακά malware ακολουθούν προκαθορισμένες εντολές («πάτα εδώ», «κατέβασε εκείνο»), το συγκεκριμένο λογισμικό έχει την ικανότητα να «βλέπει» και να αποφασίζει.
Συγκεκριμένα, το κακόβουλο λογισμικό ενσωματώνει τη βιβλιοθήκη TensorFlow.js της Google. Πρόκειται για ένα εργαλείο που επιτρέπει την εκτέλεση μοντέλων μηχανικής μάθησης απευθείας στον browser ή στη συσκευή, χωρίς να απαιτείται συνεχής επικοινωνία με κάποιον server. Οι δημιουργοί του malware εκμεταλλεύονται αυτή την τεχνολογία για να αναλύουν το περιεχόμενο της οθόνης σε πραγματικό χρόνο.
Πώς λειτουργεί η «έξυπνη» απάτη
Ο βασικός στόχος του λογισμικού είναι το λεγόμενο ad fraud (απάτη μέσω διαφημίσεων). Πολλές δωρεάν εφαρμογές και παιχνίδια βασίζουν τα έσοδά τους στις διαφημίσεις που προβάλλουν. Ωστόσο, για να μεγιστοποιήσουν το κέρδος, οι επιτιθέμενοι χρειάζονται «κλικ».
Εδώ παρεμβαίνει η Τεχνητή Νοημοσύνη:
- Ανάλυση Εικόνας: Το malware σαρώνει την οθόνη για να εντοπίσει πού ακριβώς βρίσκεται η διαφήμιση.
- Δυναμική Προσαρμογή: Σε αντίθεση με παλαιότερα bots που έκαναν κλικ σε τυφλά σημεία, το νέο trojan καταλαβαίνει πότε αλλάζει η θέση ή η μορφή μιας διαφήμισης και προσαρμόζει το «πάτημά» του.
- Λειτουργία «Φάντασμα»: Μπορεί να φορτώσει ένα κρυφό παράθυρο προγράμματος περιήγησης (phantom browser) και να αλληλεπιδρά με διαφημίσεις στο παρασκήνιο, χωρίς ο χρήστης να αντιληφθεί το παραμικρό, πέρα ίσως από μια αυξημένη κατανάλωση μπαταρίας ή δεδομένων.
Ο Κίνδυνος Πέρα από τις Διαφημίσεις
Αν και η τεχνητή διόγκωση των κλικ σε διαφημίσεις ακούγεται ως πρόβλημα που αφορά κυρίως τις διαφημιστικές εταιρείες, η πραγματικότητα για τον τελικό χρήστη είναι πολύ πιο επικίνδυνη. Το σύστημα που έχει στηθεί δεν περιορίζεται στην αυτοματοποίηση.
Όταν το μοντέλο μηχανικής μάθησης αποτύχει να εκτελέσει την εργασία του ή συναντήσει εμπόδια, ενεργοποιείται ένας μηχανισμός «signaling». Αυτό επιτρέπει στους επιτιθέμενους να αναλάβουν χειροκίνητα τον έλεγχο της οθόνης. Μπορούν εξ αποστάσεως να κάνουν scroll, να πατήσουν κουμπιά και ουσιαστικά να περιηγηθούν στο κινητό του θύματος σαν να το κρατούσαν στα χέρια τους.
Αυτή η δυνατότητα μετατρέπει το κινητό σε εργαλείο κατασκοπείας, καθώς μπορεί να χρησιμοποιηθεί για την υποκλοπή κωδικών, την ανάγνωση προσωπικών μηνυμάτων ή ακόμα και την εγκατάσταση πιο επιθετικού λογισμικού υποκλοπής (spyware).
Η πηγή του κακού: Παιχνίδια και «πειραγμένες» εφαρμογές
Η έρευνα έδειξε ότι το συγκεκριμένο malware δεν διαδίδεται μόνο μέσω σκοτεινών ιστοσελίδων, αλλά έχει βρει τον δρόμο του και σε επίσημα καταστήματα εφαρμογών μεγάλων κατασκευαστών.
Συγκεκριμένα, εντοπίστηκε στο GetApps, το εναλλακτικό κατάστημα εφαρμογών της Xiaomi. Τα μολυσμένα αρχεία αποδίδονται σε έναν συγκεκριμένο προγραμματιστή με την επωνυμία "Shenzhen Ruiren Network Co. Ltd.".
Παράλληλα, η διασπορά γίνεται μέσω καναλιών στο Telegram και ιστοσελίδων που προσφέρουν «σπασμένες» (modded) εφαρμογές. Χρήστες που αναζητούν δωρεάν εκδόσεις δημοφιλών υπηρεσιών όπως το Spotify ή το Netflix μέσω πλατφορμών όπως το Apkmody και το Moddroid, βρίσκονται συχνά εκτεθειμένοι.
Η «μαύρη λίστα» των εφαρμογών
Οι ερευνητές ταυτοποίησαν συγκεκριμένους τίτλους παιχνιδιών που φέρουν τον κακόβουλο κώδικα AI:
- Creation Magic World
- Cute Pet House
- Amazing Unicorn Party
- Sakura Dream Academy
- Theft Auto Mafia Open World Gangsters
Τι σημαίνει αυτό για το μέλλον της κυβερνοασφάλειας
Η ενσωμάτωση του TensorFlow.js σε κακόβουλο λογισμικό αποτελεί σημείο καμπής. Μέχρι πρότινος, η ανίχνευση ιών βασιζόταν συχνά στην παρατήρηση της επικοινωνίας του κινητού με ύποπτους servers. Με τη χρήση on-device AI, το malware γίνεται πιο αυτόνομο, πιο «σιωπηλό» και κατά συνέπεια πιο δύσκολο να εντοπιστεί από τα συμβατικά antivirus.
Επιπλέον, η στόχευση σε χρήστες που κατεβάζουν εφαρμογές εκτός του Google Play Store (sideloading) παραμένει η Αχίλλειος πτέρνα του οικοσυστήματος Android.
Οδηγίες Προστασίας
- Αποφυγή Sideloading: Μην κατεβάζετε εφαρμογές από τρίτα sites που υπόσχονται «δωρεάν premium» υπηρεσίες. Ο κίνδυνος είναι σχεδόν πάντα παρών.
- Έλεγχος Πηγών: Ακόμα και σε επίσημα stores (όπως της Xiaomi ή της Samsung), ελέγχετε τον δημιουργό της εφαρμογής και τις κριτικές.
- Google Play Protect: Βεβαιωθείτε ότι η υπηρεσία προστασίας της Google είναι ενεργοποιημένη στη συσκευή σας.
- Παρατηρητικότητα: Αν το κινητό σας ζεσταίνεται υπερβολικά ή η μπαταρία τελειώνει γρήγορα χωρίς λόγο, ίσως κάποια διεργασία «φάντασμα» τρέχει στο παρασκήνιο.
Η τεχνολογία εξελίσσεται και μαζί της εξελίσσονται και οι απειλές. Το έξυπνο κινητό απαιτεί πλέον και έξυπνη χρήση από τον κάτοχό του.
