Новости Обнаружены еще два Android-зловреда, использующие тему ChatGPT

  • Автор темы BOOX
  • Дата начала

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.366
Репутация
11.800
Реакции
62.039
RUB
50
Команда Unit 42 компании Palo Alto Networks зафиксировала рост числа вредоносных имитаций ChatGPT, заточенных под Android.


По всей видимости, вирусописатели пытаются воспользоваться ажиотажем, вызванным выпуском GPT-3.5, а затем GPT-4. Новые образцы таких фейков эксперты после анализа разделили на две группы. В одну включили зловредов, идущих довеском к легитимному приложению, в другую — откровенные фальшивки.

Характерным представителем первого кластера является ИИ-ассистент SuperGPT, дополненный Meterpreter (уровень детектирования на 16 июня — 28/65). Загрузка такого APK способна открыть удаленный доступ к системе (в случае успешного эксплойта).

image1fake_chatgpt.png


В настройках Meterpreter-пейлоада задано подключение к веб-сервису Portmap.io, бесплатно выполняющему проброс портов. Для подписи вредоносного кода используется самозаверенный сертификат, который засветился также в сотне других семплов на VirusTotal. Легитимный SuperGPT при этом подписан обычным сертификатом (заверенным УЦ).

В фейковых ChatGPT функции ИИ-бота отсутствуют, хотя такие зловреды очень стараются создать видимость легитимности. Так, образцы APK, подвергнутые анализу в Unit 42, показывали страницу с описанием ChatGPT, а чтобы усилить иллюзию, использовали логотип OpenAI в качестве иконки.

Все они умели отправлять СМС на премиум-номера Таиланда и при установке запрашивали соответствующие разрешения. Более ранние версии отсылали такие сообщения на единственный тайский номер, вшитый в код, и использовали с этой целью веб-сервис OneSignal. Семплы поновее разнообразили свои послания и отправляли их на два номера, тоже прописанные в коде.

Все члены этого дружного семейства подписаны действующим сертификатом обычного образца. О своих находках исследователи сообщили в Google, чтобы вредоносы не проникли в Play Store.

 
Сверху Снизу