נוזקות אנדרואיד משלבות AI

סמארטפונים נהפכו בשנים האחרונות ליעד מרכזי לעברייני סייבר, וכעת נראה כי המתקפות נכנסות לשלב חדש: שילוב של בינה מלאכותית לצד ניצול טעויות משתמשים. חוקרי חברת אבטחת המידע ESET מזהירים מפני מגמה מתפתחת בעולם הסייבר במובייל, שבמסגרתה האקרים משכללים את שיטות התקיפה נגד מכשירי אנדרואיד ומשלבים טכנולוגיות מתקדמות כגון AI לצד ניצול התנהגות משתמשים כדי להשתלט על המכשיר.

חוקרי ESET זיהו מספר גרסאות של הנוזקה, בכללן לפחות ארבע גרסאות מתקדמות שהתגלו בפברואר 2026. הדבר מלמד על פיתוח פעיל ומתמשך ולא מקרה יחיד.

במחקר עדכני חשפו חוקרי ESET משפחת נוזקות אנדרואיד חדשה בשם PromptSpy, המדגימה כיצד עברייני סייבר מתחילים לשלב יכולות מתקדמות במתקפות על מכשירים ניידים. בניגוד לנוזקות מסורתיות שמבוססות על פקודות קבועות, הנוזקה החדשה משתמשת לראשונה ב־GenAI כדי לנתח את ממשק המשתמש של המכשיר ולהבין כיצד לפעול עליו בזמן אמת.

באמצעות שימוש ב־Gemini של גוגל, הנוזקה יכולה לנתח מה שמופיע על המסך ולקבל הוראות כיצד לבצע פעולות במכשיר. גישה זו מאפשרת לנוזקה להתאים את עצמה למגוון רחב של מכשירים, ממשקי משתמש וגרסאות מערכת הפעלה, במקום להסתמך על תסריטים קבועים שעובדים רק על סוגים מסוימים של מכשירים.

גיל שטרן, מנהל השיווק בקומסקיור, המפיצה הרשמית של ESET בישראל, מציין: "מדובר באחד המקרים הראשונים שבהם נוזקה לאנדרואיד משלבת יכולות של בינה מלאכותית כחלק מפעולתה. הדבר עשוי ללמד על מגמה רחבה יותר בעולם איומי הסייבר, שבה תוקפים משתמשים בכלים מתקדמים כדי להפוך את המתקפות לגמישות ומתוחכמות יותר."

יעדה המרכזי של הנוזקה הוא לאפשר לתוקפים שליטה במכשיר שנפרץ, כך שלאחר התקנת הנוזקה בדמות אפליקציה תמימה, על המשתמש לאשר לה גישה להרשאות מתאימות. לאחר מכן היא מפעילה רכיב שליטה מרחוק המאפשר למפעילי התקיפה לצפות במסך המכשיר בזמן אמת ולבצע פעולות כאילו הם מחזיקים בו פיזית. בין היתר הנוזקה יכולה לצלם את המסך, להקליט פעילות, לאסוף מידע על המכשיר ואף ללכוד נתונים רגישים כגון קוד נעילה או פרטי כניסה לחשבונות.

הנוזקה משתמשת במגוון שיטות כדי להקשות את הסרתה מהמכשיר. היא מנצלת הרשאות מתקדמות במערכת אנדרואיד כדי להישאר פעילה גם כאשר המשתמש מנסה לסגור אותה או להסיר אותה מהמכשיר.

כיצד הרשאות אפליקציות פותחות דלת לתוקפים?

לצד ההתפתחות הטכנולוגית של הנוזקות, חוקרי ESET מדגישים כי פעמים רבות הגורם המרכזי שמאפשר למתקפות כאלה להצליח הוא דווקא התנהגות המשתמשים עצמם. משתמשים רבים מאשרים בקשות הרשאה של אפליקציות באופן אוטומטי, בלי לבדוק אם ההרשאה באמת נחוצה לפעילות האפליקציה. כאשר אפליקציה מקבלת גישה רחבה מדי למידע או ליכולות המכשיר, היא יכולה במקרים מסוימים לגשת לאנשי קשר, לקבצים, למיקום, למצלמה או למיקרופון.

אחת מנורות האזהרה המרכזיות היא גישה להודעות, שכן היא עשויה לאפשר איסוף קודי אימות חד־פעמיים, קודים זמניים ואף מידע פיננסי, ומכאן הדרך להשתלטות על חשבונות קצרה. לעיתים מדובר בבקשות הרשאה שאינן תואמות כלל את מטרת האפליקציה. כך למשל משחק פשוט שמבקש גישה לאנשי קשר או אפליקציית מחשבון שמבקשת גישה למיקרופון או למצלמה, עשויים להיות סימן אזהרה שהאפליקציה מבקשת יותר מידע ממה שנדרש לפעילותה.

שטרן מוסיף: "הסמארטפון נהפך בשנים האחרונות למרכז החיים הדיגיטליים שלנו. הוא מכיל מידע אישי, פיננסי ועסקי רגיש, ולכן הוא יעד אטרקטיבי במיוחד לעברייני סייבר. אנחנו רואים שילוב בין טכנולוגיות חדשות, המאפשרות לנוזקות להיות חכמות ומתוחכמות יותר, לבין ניצול טעויות אנוש פשוטות כגון אישור הרשאות לאפליקציות בלי לבדוק מה הן מבקשות. משתמשים רבים אינם מודעים למשמעות של ההרשאות שהם מעניקים לאפליקציות בזמן ההתקנה או השימוש הראשוני בהן.

"לעיתים אפליקציה פשוטה מבקשת גישה למידע שאין לה צורך אמיתי בו, אך המשתמש מאשר זאת אוטומטית. ברגע שאפליקציה זדונית מקבלת הרשאות רחבות, היא יכולה לאסוף מידע רב על המשתמש ואף לאפשר לתוקף לשלוט במכשיר מרחוק."

ב־ESET ממליצים למשתמשים להוריד אפליקציות רק מחנויות רשמיות ולא לסמוך על קבצי APK שמסתובבים ברשת, לבדוק היטב אילו הרשאות אפליקציה מבקשת, ולהימנע מאישור הרשאות שאינן הכרחיות לפעילותה. מומלץ גם לבצע בדיקה תקופתית של הרשאות האפליקציות במכשיר ולהסיר אפליקציות שאינן בשימוש.

לדברי שטרן, מודעות והתנהלות זהירה של משתמשים הן עדיין אחד מקווי ההגנה החשובים ביותר מפני איומי סייבר במובייל. "גם כאשר התוקפים מפתחים שיטות מתקדמות יותר, במקרים רבים התקיפה עדיין מתחילה בהחלטה קטנה של המשתמש להתקין אפליקציה לא מוכרת או לאשר הרשאה בלי לבדוק אותה. מודעות לסיכונים ושימוש בכלי אבטחה מתאימים עשויים לצמצם במידה רבה את הסיכון להדבקה."