ESET обнаружила первый вирус под Android, применяющий Google Gemini – PromptSpy

Что такое PromptSpy?

Разработчики компании ESET выявили новый вредонос для Android, названный PromptSpy. Это первый вирус, который напрямую обращается к чат‑боту Google Gemini через его API и использует возможности генеративного ИИ, чтобы «закрепиться» на заражённом устройстве.

Как работает PromptSpy

1. Подключение к Gemini
Вредонос посылает заранее подготовленные запросы в Gemini, получая от него пошаговые инструкции. С помощью этих инструкций он анализирует экран устройства (например, распознаёт изображения) и определяет, как оставить себя в списке последних приложений.

2. Установка модуля удалённого доступа
После того как пользователь согласится установить приложение MorganArg (на деле – вредонос), PromptSpy связывается с контролируемым злоумышленниками сервером и загружает остаточную часть кода. В нём реализован модуль виртуальной сети (VNC) и запросы на доступ к службе специальных возможностей, что даёт удалённый контроль над Android‑устройством.

3. Обход обычных способов удаления
Вредонос накладывает «прозрачные прямоугольники» поверх экрана, блокируя касания в критических зонах и затрудняя принудительное завершение работы приложения. Удалить его можно только через безопасный режим, где сторонние программы отключены.

4. Дополнительные функции
- Возможность перехватывать PIN‑коды блокировки экрана.
- Запись действий на экране (свайпы, ввод текста).
- Имитировать физическое взаимодействие с устройством – будто оператор держит телефон в руках.

Происхождение и цель атаки

- Региональная направленность: Фишинговый сайт, через который распространялся PromptSpy, использовал брендинг *JPMorgan Chase Argentina*, указывая на целевую аудиторию – пользователей из Аргентины.
- Появление в сети: Вирус был обнаружен после того, как образцы были загружены из Аргентины на платформу Google VirusTotal.
- Китайские следы: В коде присутствуют фрагменты на китайском языке, что подтверждает предположение о разработке вредоносного ПО в Китае.

Как защититься

- Google Play Protect: По данным ESET, служба защиты от Google уже блокирует PromptSpy, и приложение пока не найдено в магазине Play Market.
- Обновления ОС и приложений: Устанавливайте последние обновления безопасности Android и используйте только проверенные источники для загрузки программ.
- Осторожность с разрешениями: Не соглашайтесь на запросы установки непроверенных приложений, особенно если они просят доступ к службам специальных возможностей.

Итоги

PromptSpy демонстрирует новый уровень взаимодействия вредоносного ПО с генеративными ИИ‑сервисами. Благодаря Gemini вирус может адаптироваться под любое устройство и ОС, что повышает риск заражения. Несмотря на то, что его удаление затруднено, безопасный режим позволяет избавиться от него, а встроенные механизмы Google Play Protect уже обеспечивают защиту пользователей.