ESET виявила перший вірус під Android, що використовує Google Gemini – PromptSpy

Що таке PromptSpy?

Розробники компанії ESET виявили новий шкідливий код для Android, названий PromptSpy. Це перший вірус, який безпосередньо звертається до чат‑бота Google Gemini через його API і використовує можливості генеративного ШІ, щоб «заперетись» на зараженому пристрої.

Як працює PromptSpy
1. Підключення до Gemini

Шкідливий код надсилає заздалегідь підготовлені запити в Gemini, отримуючи від нього покрокові інструкції. За допомогою цих інструкцій він аналізує екран пристрою (наприклад, розпізнає зображення) і визначає, як залишитися у списку останніх застосунків.

2. Встановлення модуля віддаленого доступу

Після того як користувач погодиться встановити застосунок MorganArg (насправді – шкідливий код), PromptSpy зв’язується з сервером, контрольованим злочинцями, і завантажує залишкову частину коду. У ній реалізовано модуль віртуальної мережі (VNC) та запити на доступ до служби спеціальних можливостей, що дає віддалений контроль над Android‑пристроєм.

3. Обхід звичайних способів видалення

Шкідливий код накладає «прозорі прямокутники» поверх екрана, блокуючи дотики у критичних зонах і ускладнюючи примусове завершення роботи застосунку. Видалити його можна лише через безпечний режим, де сторонні програми вимкнені.

4. Додаткові функції

- Можливість перехоплювати PIN‑коди блокування екрана.
- Запис дій на екрані (свайпи, введення тексту).
- Імітувати фізичну взаємодію з пристроєм – ніби оператор тримає телефон у руках.

Походження та мета атаки
- Регіональна спрямованість: Фішинговий сайт, через який розповсюджувався PromptSpy, використовував брендинг *JPMorgan Chase Argentina*, вказуючи на цільову аудиторію – користувачів з Аргентини.
- Поява у мережі: Вірус був виявлений після того, як зразки були завантажені з Аргентини на платформу Google VirusTotal.
- Китайські сліди: У коді присутні фрагменти китайською мовою, що підтверджує припущення про розробку шкідливого ПЗ в Китаї.

Як захиститися
- Google Play Protect: За даними ESET, служба захисту від Google вже блокує PromptSpy, і застосунок поки не знайдено у магазині Play Market.
- Оновлення ОС та застосунків: Встановлюйте останні оновлення безпеки Android і використовуйте лише перевірені джерела для завантаження програм.
- Обережність з дозволами: Не погоджуйтеся на запити встановлення неперевірених застосунків, особливо якщо вони просять доступ до служб спеціальних можливостей.

Висновки
PromptSpy демонструє новий рівень взаємодії шкідливого ПЗ із генеративними ШІ‑сервісами. Завдяки Gemini вірус може адаптуватися під будь-який пристрій і ОС, що підвищує ризик зараження. Незважаючи на те, що його видалення ускладнене, безпечний режим дозволяє позбутися від нього, а вбудовані механізми Google Play Protect вже забезпечують захист користувачів.