PromptSpy: первый Android-вредонос, использующий генеративный ИИ для закрепления в системе
ESET обнаружила первый Android-вредонос PromptSpy, использующий Google Gemini для закрепления в системе. Он перехватывает данные, записывает экран и открывает удаленный доступ, маскируясь под банковское приложение Morgan Chase. Кампания нацелена на Аргентину и распространяется вне Google Play. Удалить вредонос можно только через безопасный режим.
Исследователи ESET обнаружили первое вредоносное ПО для Android, которое применяет генеративный ИИ в процессе своего выполнения. Как сообщает издание Help Net Security, вредонос получил название PromptSpy — он злоупотребляет моделями Google Gemini для обеспечения персистентности на заражённых устройствах.
Вредонос способен перехватывать данные с экрана блокировки, собирать информацию об устройстве, делать скриншоты и записывать видео с экрана, а также блокировать попытки удаления с помощью невидимых оверлеев. По данным ESET, основная цель PromptSpy — развернуть встроенный модуль VNC для удалённого доступа к устройству жертвы. Управляющие команды и данные передаются на C&C-сервер с использованием шифрования AES.
Gemini используется для получения пошаговых инструкций по закреплению приложения в списке недавних задач, что предотвращает его случайное закрытие или завершение системой. Промпт и модель ИИ жёстко прописаны в коде вредоноса и не подлежат изменению.
Кампания нацелена преимущественно на пользователей в Аргентине. Вредонос распространяется через поддельный веб-сайт, маскируясь под банковское приложение Morgan Chase (под названием MorganArg), и не размещался в Google Play. В ESET отметили, что их телеметрия пока не фиксировала случаев заражения PromptSpy, что может указывать на ограниченный характер кампании или статус Proof of Concept.
Для удаления вредоноса пользователям рекомендуется перезагрузить устройство в безопасном режиме, где сторонние приложения отключены, и деинсталлировать MorganArg стандартным способом через настройки.
