ESET открие първия вирус за Android, който използва Google Gemini – PromptSpy

Какво е PromptSpy?

Разработчиците на компанията ESET открият нов зловреден софтуер за Android, наречен PromptSpy. Това е първият вирус, който директно се свързва с чат‑бота Google Gemini чрез неговия API и използва възможностите на генеративния ИИ, за да „се закрепи“ върху заразенията устройство.

Как работи PromptSpy
1. Свързване към Gemini

Зловредният софтуер изпраща предварително подготвени заявки към Gemini, получавайки от него стъпка по стъпка инструкции. С помощта на тези инструкции той анализира екрана на устройството (например разпознава изображения) и определя как да остане в списъка с последните приложения.

2. Инсталиране на модул за дистанционно достъп

След като потребителят се съгласи да инсталира приложението MorganArg (в действителност – зловреден софтуер), PromptSpy се свързва със сървъра, контролиращ от злоумишлените и изтегля остатъчната част от кода. В него е реализиран модул за виртуална мрежа (VNC) и заявки за достъп до услугата Special Access, което позволява дистанционен контрол над Android‑устройството.

3. Обход на обичайните начини за изтриване

Зловредният софтуер поставя „прозрачни правоъгълници“ върху екрана, блокирайки докосванията в критични зони и затруднявайки принудителното прекратяване на приложението. Той може да бъде изтрит само чрез безопасен режим, където трети страни приложения са деактивирани.

4. Допълнителни функции

- Възможност за прихващане на PIN‑кодовете за заключване на екрана.
- Запис на действията на екрана (свайпи, въвеждане на текст).
- Имитация на физическо взаимодействие с устройството – сякаш операторът държи телефона в ръцете си.

Произход и цел на атаката
- Регионално насоченост: Фишинг сайтът, чрез който се разпространява PromptSpy, използва брандирането *JPMorgan Chase Argentina*, посочвайки целевата аудитория – потребители от Аржентина.
- Появата в мрежата: Вирусът беше открит след като образци бяха качени от Аржентина на платформата Google VirusTotal.
- Китайски следи: В кода присъстват фрагменти на китайски език, което потвърждава предположението за разработката в Китай.

Как да се защитите
- Google Play Protect: Според ESET услугата за защита от Google вече блокира PromptSpy и приложението все още не е намерено в магазина Play Market.
- Актуализации на ОС и приложенията: Инсталирайте последните сигурностни актуализации на Android и използвайте само проверени източници за сваляне на софтуер.
- Внимателно отношение към разрешенията: Не се съгласявайте с заявки за инсталиране на непроверени приложения, особено ако те поискат достъп до услугата Special Access.

Резултати
PromptSpy демонстрира ново ниво на взаимодействие между зловреден софтуер и генеративни ИИ‑сервизи. Благодарение на Gemini вирусът може да се адаптира към всяко устройство и ОС, което увеличава риска от заразяване. Въпреки че неговото изтриване е затруднено, безопасният режим позволява освобождаване от него, а вградените механизми на Google Play Protect вече осигуряват защита за потребителите.