ESET wykryła pierwszy wirus na Androida wykorzystujący Google Gemini – PromptSpy

Co to jest PromptSpy?

Programiści firmy ESET odkryli nowy złośliwy oprogramowanie dla Androida, nazwany PromptSpy. To pierwszy wirus, który bezpośrednio komunikuje się z chatbotem Google Gemini poprzez jego API i wykorzystuje możliwości generatywnego AI, aby „zatrzymać się” na zaszczępnym urządzeniu.

Jak działa PromptSpy
1. Połączenie z Gemini

Złośliwe oprogramowanie wysyła wcześniej przygotowane zapytania do Gemini, otrzymując od niego instrukcje krok po kroku. Dzięki tym instrukcjom analizuje ekran urządzenia (np. rozpoznaje obrazy) i określa, jak pozostawić się na liście ostatnich aplikacji.

2. Instalacja modułu zdalnego dostępu

Po tym, jak użytkownik zgodzi się zainstalować aplikację MorganArg (w rzeczywistości – złośliwe oprogramowanie), PromptSpy łączy się z serwerem kontrolowanym przez sprawców i pobiera pozostałą część kodu. Zawiera on moduł wirtualnej sieci (VNC) oraz żądania dostępu do usługi specjalnych funkcji, co daje zdalną kontrolę nad urządzeniem Android.

3. Omijanie zwykłych sposobów usuwania

Złośliwe oprogramowanie nakłada „przezroczyste prostokąty” na ekran, blokując dotyki w krytycznych obszarach i utrudniając wymuszone zakończenie aplikacji. Usunąć je można tylko poprzez tryb awaryjny, gdzie zewnętrzne programy są wyłączone.

4. Dodatkowe funkcje

- Możliwość przechwytywania kodów PIN blokady ekranu.
- Nagrywanie działań na ekranie (przesunięcia, wprowadzanie tekstu).
- Symulowanie fizycznej interakcji z urządzeniem – jakby operator trzymał telefon w rękach.

Pochodzenie i cel ataku
- Regionalne ukierunkowanie: Strona phishingowa, przez którą rozprzestrzeniał się PromptSpy, używała brandingu *JPMorgan Chase Argentina*, wskazując na docelową grupę – użytkowników z Argentyny.
- Pojawienie się w sieci: Wirus został wykryty po tym, jak próbki zostały przesłane z Argentyny na platformę Google VirusTotal.
- Chińskie ślady: W kodzie znajdują się fragmenty w języku chińskim, co potwierdza przypuszczenie o rozwoju złośliwego oprogramowania w Chinach.

Jak się chronić
- Google Play Protect: Według ESET usługa ochrony Google już blokuje PromptSpy, a aplikacja nie jest jeszcze dostępna w sklepie Play Market.
- Aktualizacje systemu i aplikacji: Instaluj najnowsze aktualizacje bezpieczeństwa Androida i korzystaj tylko z sprawdzonych źródeł pobierania programów.
- Ostrożność przy uprawnieniach: Nie zgadzaj się na instalację niezweryfikowanych aplikacji, zwłaszcza jeśli proszą o dostęp do usług specjalnych funkcji.

Wnioski
PromptSpy demonstruje nowy poziom interakcji złośliwego oprogramowania z usługami generatywnych AI. Dzięki Gemini wirus może dostosować się do dowolnego urządzenia i systemu operacyjnego, zwiększając ryzyko zakażenia. Mimo że jego usunięcie jest utrudnione, tryb awaryjny pozwala się go pozbyć, a wbudowane mechanizmy Google Play Protect już zapewniają ochronę użytkowników.