Вредоносный AI-ассистент TITAN использует OCR и Gemini API для кражи данных экрана

information security

Специалисты по информационной безопасности обнаружили новый класс угроз, замаскированных под инструменты искусственного интеллекта. Вредоносная программа TITAN (позиционируется как TITAN Advanced Tools v3.0) представляет собой похитителя данных на Python, который использует технологию оптического распознавания символов (OCR) для непрерывного мониторинга экрана жертвы. Этот инцидент затрагивает всех пользователей, которые скачивают AI-ассистентов из общедоступных репозиториев пакетов, включая как корпоративных клиентов, так и частных лиц.

Описание

TITAN распространяется через PyPI (Python Package Index) под видом легитимного пакета myra-ai-assistant. Вредонос встроен как модуль aria_modules/aria_advanced_tools.py внутри этого пакета. Учётная запись, опубликовавшая программу, была создана 31 мая 2026 года и не имела истории предыдущих публикаций. Примечательно, что ни один из 63 антивирусных движков VirusTotal не обнаружил угрозы по состоянию на 9 июня 2026 года, что свидетельствует о тщательной маскировке кода.

Архитектура атаки состоит из нескольких последовательных фаз. На первом этапе при импорте модуля aria_advanced_tools.py происходит автоматическая установка открытой OCR-библиотеки Tesseract через менеджеры пакетов winget или Chocolatey. Ключ Gemini API вводится пользователем во время выполнения через функцию init_advanced(), что означает отсутствие жёстко закодированных учётных данных для статического обнаружения.

Второй этап представляет собой активное наблюдение за экраном. Функция _proactive_loop() отслеживает изменения состояния экрана через MD5-хэш миниатюры. При обнаружении изменений срабатывает механизм _suggest_from_context(), который сопоставляет заголовок активного окна с категориями высокого интереса: формы входа и регистрации, страницы оплаты, окна ошибок и сбоев, редакторы кода (VS Code, PyCharm), почтовые клиенты (Gmail, Outlook), электронные таблицы, PDF-файлы и WhatsApp. Этот же модуль генерирует мотивирующие подсказки на хинглише (смесь хинди и английского) через AI-персонажа, которые манипулируют жертвой, побуждая её активно нажимать на кнопки в критические моменты.

Третий этап - это эксфильтрация данных. Крупномасштабный снимок экрана и текст, полученный трёхстратегическим распознаванием через Tesseract OCR, отправляются на Gemini-аккаунт злоумышленника через API generativelanguage.googleapis[.]com. Весь трафик идёт по HTTPS к легитимной облачной инфраструктуре Google. Как показал анализ кода, это означает отсутствие традиционных C2-серверов (командных центров управления), которые можно было бы заблокировать по доменам. Активность полностью имитирует легитимный трафик разработчиков Gemini API.

Четвёртый этап - закрепление в системе. Вредонос создаёт перезагружаемую запланированную задачу Windows через PowerShell Register-ScheduledTask, маскируя её под уведомление Toast. Все сеансы логируются в базу данных SQLite по пути ~/Documents/TITAN_Data/memory/TITAN_memory.db.

Пятый этап включает эксфильтрацию на уровне пакета через модули aria_login.py и face_auth.py. Первый модуль отправляет всю историю диалогов пользователя с AI-ассистентом в Firebase-проект злоумышленника по пути users/{uid}/messages/{msg_id}. Второй модуль при первом входе в систему в фоновом потоке незаметно загружает биометрические фотографии регистрации лица в папку TITAN_faces/{os_user}_{hostname} того же Firebase-проекта.

Предыдущая версия того же набора модулей (aria_modules v0.1.0) содержала идентичные учётные данные Firebase-проекта, что подтверждает существование инфраструктуры эксфильтрации до публикации PyPI-пакета. При этом ключ сервисной учётной записи Firebase Admin SDK был заменён между версиями v0.1.0 и v0.2.3, что указывает на активную многофазную разработку.

Все данные эксфильтруются через стороннюю облачную инфраструктуру без каких-либо пользовательских конечных точек C2. Это делает обнаружение трафика методами сетевого мониторинга крайне затруднительным, поскольку корреляция запросов к generativelanguage.googleapis.com с вредоносной активностью требует глубокого анализа содержания, а не только заголовков.

Риски для пользователей включают кражу персональных данных с экранов банковских форм и страниц входа, утечку исходного кода из IDE, компрометацию деловой переписки из почтовых клиентов и электронных таблиц, а также незаконное получение биометрических фотографий, которые являются постоянными персональными идентификаторами. Для компаний, внедряющих AI-ассистентов в рабочие процессы, подобная атака может привести к утечкам коммерческой тайны и нарушению регуляторных требований.

Пользователям следует проявлять крайнюю осторожность при установке AI-инструментов из репозиториев пакетов, проверять историю учётной записи автора и время последнего обновления. Корпоративным клиентам рекомендуется использовать внутренние прокси для мониторинга HTTPS-трафика, блокировать установку пакетов из непроверенных источников на рабочих станциях и применять решения для обнаружения аномальных паттернов обращения к облачным AI-API. Разработчикам следует внедрять анализ поведения связанных модулей при импорте, в частности неожиданную установку дополнительного ПО и создание фоновых потоков мониторинга экрана.

Индикаторы компрометации

Domains

  • speen-to-earn.firebaseapp.com

URLs

  • https://generativelanguage.googleapis.com/v1beta/models/gemini-2.0-flash:generateContent
  • https://speen-to-earn.firebaseapp.com

SHA256

  • 023e4a254d0fe01229ca36db3cc2437722acd9596e1413084387e72900a8ab83
  • 164b06930c8d556ac6ac4ef0585dbdbb8f1ae5931395890b5e43a782dae2dca4
  • 2bb741f84a126ab6e08410661f45e4e5c7a0b386b7256ba63d37ac563a1b57aa
  • 2c7f6f39a5b9ffafd4555f5f090c23a9bc809873ff64a0c4634625f57f00e8c3
  • 2cf574b711e8fe9c8c5e693e8e1b9c743daab2410b3016067198ae14cda57ed0
  • 2ecac6e18da0f1c970bfef1738a331d93602e411059f6b98bfe9e73ccd6e8a0d
  • 33308868856c7f950d9acebdd8d9b10086fc7028c490d794f0c43989b1d99e34
  • 50429e34c6034f820dd4b99ecfeb5cf30fd0b51879cb5d25e23f928ed312656c
  • 5762b9895f804d82cb534a7f53c4dc2b33b427f1f5cc31dbc2bc73866b10ddb4
  • 60fe564289d0af6b187cd7caf3f943b2ea87feb52a3415306c4bd612ac8f6aa1
  • 6310d3ec33f905430e5f676693f82e33cc36394cbda497b98c90221246d62cfe
  • 6554360f3b997d6ebc7e978a1c7dd7fbd9f082d03eedf593d23421b3ab719be8
  • 719a11540976b4046639c20b082cfcc92b6d66c309333cf93ead620803deac1b
  • 76105bc2d917e3563043205d05f3d08d5627a8d0ff443ae2becfff4b7c1ff73e
  • 917759fc82a86b681f72c8a7384601d9692e523769442667cf9144e81d80e1e5
  • 9b3eacf597e5be5bb4f3222cc41f48d840e1739d0c3ddbe8409fc0fac343fcdb
  • b2bf5512ccd3924f1715d6816e1740e05699dbcbd635ebf2f3d018b843b71a71
  • b8b1132a6ad78795389eca2eb605ad76848ffa88617f51d071842065ffb9447b
  • ccc32ea8b6031c8528c9c644bc597d9a11db62cd2c33be6d6e0d0af9881bfb3c
  • cf655a330c5425e14d21e207e07efea5b760488ab00a8af9754d7477c0a521b8
  • dc6bb520e73f6c340beeeabe1ff3a9835b1fc9602e3c13a12b47310cb1d3ed1e
  • eeeaaecef116903dfa4e2b6f7c3281aadabae513996268cb7cfc5353b4fdb8f6
  • eff423e9b4589ddfd79ee23f6e6d9d5ef8d63695ffe9d68a29142ec29f6e6179
  • fefaba854db02cc7cca06a023c1de31d25e9a2690f891adfa78e452c26a5d231
Комментарии: 0