האיום החדש על הסמארטפון: נוזקות אנדרואיד משלבות AI ומנצלות הרשאות של אפליקציות

סמארטפונים הפכו בשנים האחרונות ליעד מרכזי עבור עברייני סייבר, וכעת נראה כי המתקפות נכנסות לשלב חדש: שילוב של בינה מלאכותית לצד ניצול טעויות משתמשים. חוקרי חברת אבטחת המידע ESET מזהירים מפני מגמה מתפתחת בעולם הסייבר במובייל, במסגרתה ההאקרים משכללים את שיטות התקיפה נגד מכשירי אנדרואיד ומשלבים טכנולוגיות מתקדמות כמו AI לצד ניצול התנהגות משתמשים כדי להשתלט על המכשיר.

במסגרת המחקר, זיהו חוקרי ESET מספר גרסאות שונות של הנוזקה, כולל לפחות ארבע גרסאות מתקדמות שהתגלו במהלך פברואר 2026, מה שמצביע על כך שמדובר בפיתוח פעיל ומתמשך ולא במקרה בודד.

שילוב של בינה מלאכותית במתקפות על מכשירי אנדרואיד

במחקר עדכני חשפו חוקרי ESET משפחת נוזקות אנדרואיד חדשה בשם PromptSpy, המדגימה כיצד עברייני סייבר מתחילים לשלב יכולות מתקדמות במתקפות על מכשירים ניידים. בניגוד לנוזקות מסורתיות שמבוססות על פקודות קבועות, הנוזקה החדשה עושה לראשונה שימוש ב-GenAI כדי לנתח את ממשק המשתמש של המכשיר ולהבין כיצד לפעול עליו בזמן אמת. באמצעות שימוש ב-Gemini של גוגל, הנוזקה יכולה לנתח את מה שמופיע על המסך ולקבל הוראות כיצד לבצע פעולות שונות במכשיר.

גישה זו מאפשרת לנוזקה להתאים את עצמה למגוון רחב של מכשירים, ממשקי משתמש וגרסאות מערכת הפעלה, במקום להסתמך על תסריטים קבועים שעובדים רק על סוגים מסוימים של מכשירים. גיל שטרן, מנהל השיווק בקומסקיור, המפיצה הרשמית של ESET בישראל, מציין כי "מדובר באחד המקרים הראשונים שבהם נוזקה לאנדרואיד משלבת יכולות של בינה מלאכותית כחלק מפעולתה, דבר שעשוי להצביע על מגמה רחבה יותר בעולם איומי הסייבר, שבה תוקפים עושים שימוש בכלים מתקדמים, כדי להפוך את המתקפות לגמישות ומתוחכמות יותר".

מטרתה המרכזית של הנוזקה היא לאפשר לתוקפים שליטה במכשיר שנפרץ, כך שלאחר התקנת הנוזקה בדמות אפליקציה תמימה, על המשתמש לאשר לה גישה להרשאות מתאימות. לאחר מכן היא מפעילה רכיב שליטה מרחוק המאפשר למפעילי התקיפה לצפות במסך המכשיר בזמן אמת, ולבצע פעולות שונות כאילו הם מחזיקים בו פיזית. בין היתר יכולה הנוזקה לצלם את המסך, להקליט פעילות, לאסוף מידע על המכשיר ואף ללכוד נתונים רגישים כמו קוד נעילה או פרטי כניסה לחשבונות שונים.

בנוסף, הנוזקה משתמשת בשיטות שונות כדי להקשות על הסרתה מהמכשיר. היא מנצלת הרשאות מתקדמות במערכת אנדרואיד כדי להישאר פעילה גם כאשר המשתמש מנסה לסגור אותה או להסיר אותה מהמכשיר.

כיצד הרשאות אפליקציות פותחות דלת לתוקפים?

לצד ההתפתחות הטכנולוגית של הנוזקות, חוקרי ESET מדגישים כי פעמים רבות הגורם המרכזי שמאפשר למתקפות כאלה להצליח הוא דווקא התנהגות המשתמשים עצמם. משתמשים רבים מאשרים בקשות הרשאה של אפליקציות באופן אוטומטי, מבלי לבדוק האם ההרשאה באמת נחוצה לפעילות האפליקציה. כאשר אפליקציה מקבלת גישה רחבה מדי למידע או ליכולות המכשיר, היא יכולה במקרים מסוימים לגשת לאנשי קשר, לקבצים, למיקום, למצלמה או למיקרופון. אחת מנורות האזהרה המרכזיות היא גישה להודעות, שכן היא עשויה לאפשר איסוף קודי אימות חד-פעמיים, קודים זמניים ואף מידע פיננסי, ומכאן הדרך להשתלטות על חשבונות קצרה. לעיתים מדובר בבקשות הרשאה שאינן תואמות כלל את מטרת האפליקציה. כך למשל, משחק פשוט שמבקש גישה לאנשי קשר או אפליקציית מחשבון שמבקשת גישה למיקרופון או למצלמה עשויים להוות סימן אזהרה לכך שהאפליקציה מבקשת יותר מידע ממה שנדרש לפעילותה.

שטרן מוסיף ש"הסמארטפון הפך בשנים האחרונות למרכז החיים הדיגיטליים שלנו. הוא מכיל מידע אישי, פיננסי ועסקי רגיש ולכן הוא יעד אטרקטיבי במיוחד עבור עברייני סייבר. אנחנו רואים שילוב בין טכנולוגיות חדשות, המאפשרות לנוזקות להיות חכמות ומתוחכמות יותר, לבין ניצול טעויות אנוש פשוטות כמו אישור הרשאות לאפליקציות בלי לבדוק מה הן מבקשות. משתמשים רבים אינם מודעים למשמעות של ההרשאות שהם מעניקים לאפליקציות בזמן ההתקנה או השימוש הראשוני בהן".

כך יכולים משתמשים לצמצם את הסיכון לפריצה בסמארטפון

"לעיתים אפליקציה פשוטה מבקשת גישה למידע שאין לה צורך אמיתי בו, אך המשתמש מאשר זאת באופן אוטומטי. ברגע שאפליקציה זדונית מקבלת הרשאות רחבות, היא יכולה לאסוף מידע רב על המשתמש ואף לאפשר לתוקף לשלוט במכשיר מרחוק", הוא מציין.

ב-ESET ממליצים למשתמשים להוריד אפליקציות רק מחנויות רשמיות ולא לסמוך על קבצי APK שמסתובבים ברשת, לבדוק היטב אילו הרשאות אפליקציה מבקשת, ולהימנע מאישור הרשאות שאינן הכרחיות לפעילותה. בנוסף מומלץ לבצע בדיקה תקופתית של הרשאות האפליקציות במכשיר ולהסיר אפליקציות שאינן בשימוש.

לדברי שטרן, מודעות והתנהלות זהירה מצד המשתמשים הן עדיין אחד מקווי ההגנה החשובים ביותר מפני איומי סייבר במובייל. "גם כאשר התוקפים מפתחים שיטות מתקדמות יותר, במקרים רבים התקיפה עדיין מתחילה בהחלטה קטנה של המשתמש להתקין אפליקציה לא מוכרת או לאשר הרשאה מבלי לבדוק אותה. מודעות לסיכונים ושימוש בכלי אבטחה מתאימים יכולים לצמצם משמעותית את הסיכון להדבקה".