Spoločnosť ESET upozornila na nový typ hrozby pre Android. Malvér s názvom PromptSpy je podľa výskumníkov prvý známy škodlivý kód pre tento systém, ktorý počas svojej činnosti využíva generatívnu umelú inteligenciu. Konkrétne pracuje s modelom Google Gemini a pomocou neho sa snaží udržať v napadnutom zariadení čo najdlhšie.
AI pomáha malvéru "zamknúť sa" v systéme
PromptSpy používa generatívnu AI na manipuláciu používateľského rozhrania. Model Gemini analyzuje prvky na obrazovke zariadenia a malvéru poskytuje pokyny krok za krokom, ako si pripnúť aplikáciu do zoznamu nedávno použitých aplikácií. V mnohých Android nadstavbách je táto funkcia označená ikonou zámku v multitaskingovom zobrazení.
Takto "uzamknutá" aplikácia sa nedá jednoducho zavrieť alebo odstrániť zo zoznamu. Hoci je AI využitá len v jednej časti kódu, výrazne zvyšuje prispôsobivosť malvéru. Dokáže sa lepšie prispôsobiť rôznym verziám systému, nadstavbám výrobcov aj rozloženiu prvkov na displeji.
Cieľom je vzdialený prístup cez VNC
Bez asistencie AI má PromptSpy jasný cieľ: nasadiť do zariadenia modul Virtual Network Computing (VNC). Ten útočníkom umožní na diaľku sledovať obrazovku a vykonávať akcie, akoby držali telefón v rukách.
Malvér zároveň dokáže:
- Zachytávať údaje zo zamknutej obrazovky
- Blokovať pokusy o odinštalovanie pomocou neviditeľných prekrytí
- Zhromažďovať informácie o zariadení
- Vytvárať snímky obrazovky
- Nahrávať aktivitu obrazovky ako video
Na komunikáciu so svojím riadiacim serverom využíva šifrovanie AES.
Pravdepodobne cielený na Argentínu
Podľa analýzy ESET-u ide pravdepodobne o finančne motivovanú kampaň, ktorá sa zameriava najmä na používateľov v Argentíne. Malvér sa šíri cez samostatnú webovú stránku a nikdy nebol dostupný v obchode Google Play.
Aplikácia vystupuje pod názvom MorganArg a jej ikona sa zjavne inšpiruje značkou Morgan Chase. Zaujímavosťou je, že PromptSpy zatiaľ nebol zachytený v telemetrii ESET-u. Môže teda ísť o takzvaný proof of concept, teda testovaciu verziu, ktorá ukazuje možnosti kombinácie malvéru a generatívnej AI. Dobrou správou je, že používatelia zariadení s Google Play Services sú chránení službou Google Play Protect, ktorá je predvolene zapnutá.
Mohlo by vás zaujímať:
- Ako fotí Xiaomi 17 Ultra: Prinášame fotografie priamo z predstavenia v Barcelone
- Google Mapy dostanú podporu AI generátora obrázkov Nano Banana
- Nothing Phone (4a) v ružovej a Headphone (a) v žltej: Odvážny dizajn upúta
Ak by sa však malvér do zariadenia dostal a blokoval odinštalovanie, riešením je reštart do Núdzového režimu (Safe Mode). V tomto režime sú aplikácie tretích strán dočasne vypnuté a dajú sa odstrániť štandardným spôsobom cez Nastavenia → Aplikácie → MorganArg.
