스스로 생각하는 최초의 Android Malware가 구글의 AI를 이용해 이를 수행했다

Source: Dev.to

위의 링크에 있는 전체 텍스트를 제공해 주시면, 해당 내용을 한국어로 번역해 드리겠습니다. (코드 블록, URL 및 마크다운 형식은 그대로 유지됩니다.)

Overview

은행 트로이목마가 Gemini에게 휴대폰에서 어떻게 살아남을지 물어보고 있습니다. Gemini가 답변합니다.

2023년 2월 19일, ESET 연구원들은 PromptSpy라는 이름의 악성코드 패밀리를 공개했습니다. 이들은 이를 런타임에 생성형 AI를 사용하는 최초의 안드로이드 위협이라고 평가했습니다 — 개발 도구로서가 아니라, 피싱 이메일을 작성하기 위해서가 아니라, 자체 실행의 활성 구성 요소로서 사용됩니다.

악성코드는 감염된 휴대폰의 현재 화면을 스크린샷으로 캡처해 Google의 Gemini API에 전송합니다. Gemini는 화면을 분석하고 JSON 형식의 명령을 반환합니다: 어떤 부분을 탭해야 하는지, 어디를 탭해야 하는지, 그리고 어떤 순서로 탭해야 하는지. 목적은 지속성 확보이며, PromptSpy는 Gemini의 응답을 이용해 자신을 최근 앱 목록에 고정시켜 사용자가 스와이프해서 제거하거나 시스템이 종료시키는 것을 방지합니다.

작동 방식

PromptSpy는 MorganArg라는 은행 앱으로 위장해 나타납니다 — JPMorgan Chase의 브랜드를 모방한 가짜 앱으로, 아르헨티나 사용자를 표적으로 합니다. 설치되면 VNC 모듈을 배포해 공격자에게 기기에 대한 완전한 원격 접근 권한을 부여합니다. 잠금 화면 데이터를 캡처하고, 화면을 비디오로 녹화하며, 스크린샷을 찍고, 삭제를 차단하고, 기기 정보를 수집합니다.

이러한 기능은 새롭지 않습니다; 원격 접근 기능을 가진 안드로이드 트로잔은 수년간 존재해 왔습니다. 새로운 점은 지속성 메커니즘입니다.

전통적인 악성코드는 생존 기술을 하드코딩합니다. 안드로이드가 최근 앱 목록 동작을 변경하면 악성코드는 작동하지 않게 됩니다. PromptSpy는 그 문제를 Gemini에 외주합니다. 운영 체제가 업데이트되거나 UI가 변경되거나, 삼성이나 샤오미가 커스텀 스킨에서 최근 앱 동작을 수정할 때마다, 악성코드는 현재 화면이 어떻게 보이는지와 어떻게 탐색해야 하는지를 Gemini에 묻습니다. AI가 적응하고, 악성코드는 별도로 적응할 필요가 없습니다.

이것은 자물쇠 따개와 자물쇠 수리공의 차이와 같습니다. 하나는 특정 자물쇠를 부수고, 다른 하나는 자물쇠 자체를 이해합니다.

타임라인

• 1월 13일 – 전신인 VNCSpy 샘플 두 개가 VirusTotal에 나타났습니다 (홍콩에서 업로드됨).
• 2월 10일 – 아르헨티나에서 네 개의 더 고급 샘플이 등장했습니다. 이는 VNCSpy 기반에 Gemini 통합이 추가된 PromptSpy 변종입니다.

개념 증명과 AI‑강화 진화 사이에 단 28일만 있었습니다. ESET은 아직 텔레메트리에서 샘플을 감지하지 못했으며, 이는 캠페인이 규모가 작거나 아직 충분히 새로워 탐지를 피했을 가능성을 의미합니다.

왜 이것이 겉보기보다 더 중요한가

보안 연구원들은 2년 동안 AI가 악성코드에 변화를 줄지 여부를 두고 논쟁해 왔습니다. 일반적인 합의는 현재 위협은 AI‑생성 피싱 및 사회공학이며, AI가 통합된 악성코드는 아니라는 것이었습니다. PromptSpy가 그 합의를 깨뜨립니다.

그가 넘은 기술적 장벽은 복잡하지 않습니다: API를 호출하는 것은 사소한 일입니다. 어떤 개발자라도 스크린샷을 Gemini에 보내고 JSON 응답을 파싱할 수 있습니다. 이러한 접근성 덕분에 이 기능은 재정적 동기가 있는 팀이 아르헨티나 은행 고객을 목표로 한 경우 한 달 이내에 구현할 정도로 저렴합니다.

Gemini는 자신이 악성코드에 의해 사용되고 있다는 사실을 모릅니다. 스크린샷과 UI 탐색에 관한 질문만을 받습니다. 버튼을 누르는 방법을 설명하는 데 정책 위반이 없습니다. 이 요청은 정당한 접근성 문의와 구분이 되지 않으므로, Google은 정당한 접근성 도구, 개발자 테스트, 고객 지원 자동화를 방해하지 않고는 이를 차단할 수 없습니다.

이것이 모두가 경고했던 무기화이지만, 누구도 대비하지 못한 형태입니다. AI가 제로‑데이 익스플로잇을 생성하는 것이 아니라, 악성코드를 위한 고객 서비스 역할을 수행하는 것입니다—전화기가 어떻게 작동하는지에 대한 기본적인 질문에 답변하지만, 누가 물어보는지, 왜 물어보는지 알 방법이 없습니다.

적응 문제

실제 위협은 PromptSpy 자체가 아니라 아키텍처입니다. 의사결정을 AI에 위임하는 악성코드는 대상 환경이 바뀌어도 업데이트가 필요하지 않습니다. 새로운 명령을 푸시할 명령‑제어 서버가 필요 없으며, 자신이 존재하는 환경으로부터 직접 명령을 생성합니다.

• UI가 변경되는 모든 Android 업데이트는 0개의 악성코드 업데이트만으로도 지속성을 유지할 수 있습니다.
• 제조사별 스킨도 자동으로 탐색됩니다.
• 장애인 사용자를 돕기 위해 설계된 모든 접근성 프레임워크가 악성코드가 조회할 수 있는 표면이 됩니다.

Gemini만이 비전 기능을 갖춘 모델은 아닙니다. Claude, GPT‑4o 및 기타 모델도 이미지를 받아 구조화된 응답을 반환합니다. Google이 PromptSpy의 API 호출을 차단하더라도, 다음 변종은 다른 모델을 통해 라우팅될 수 있습니다. 이 기법은 모델에 구애받지 않습니다.

무료 인텔리전스의 비용

Google은 Gemini API 접근을 무료 티어로 제공하고 있습니다. ESET은 PromptSpy가 무료 티어를 사용했는지, 아니면 도난당한 API 키를 사용했는지는 밝히지 않았지만, 경제적 측면은 명확합니다: 악성코드를 적응형으로 만드는 한계 비용이 거의 0에 가깝습니다—감염된 장치당 하루에 수백 번의 API 호출이 몇 센트 수준에 불과합니다.

20년 동안 악성코드 경제는 정교함보다 규모를 중시해 왔습니다(‘뿌리고 기도하기’ 방식). PromptSpy는 새로운 균형점을 제시합니다: 대규모로 배포할 수 있을 만큼 저렴하면서도 인간의 유지보수 없이도 살아남을 수 있을 정도로 똑똑한 적응형 악성코드.

ESET은 현재 샘플들을 잠재적인 개념 증명(proof‑of‑concept)으로 분류했습니다. 이 평가는 여러분을 우려하게 해야 합니다—즉, 누군가 이것이 작동하는지 확인하기 위해 만들었다는 뜻입니다. 그리고 실제로 작동합니다.