Το PromptSpy, νέο malware για Android, αξιοποιεί γενετική τεχνητή νοημοσύνη της Google για καταγραφή οθόνης, παρακολούθηση και αποτροπή απεγκατάστασης. Είναι το δεύτερο AI-powered malware που εντοπίζει η ESET σε έναν χρόνο.
Ένα νέο και ιδιαίτερα επικίνδυνο κακόβουλο λογισμικό για Android, με την ονομασία PromptSpy, αξιοποιεί για πρώτη φορά τη γενετική τεχνητή νοημοσύνη (Generative AI) στη ροή εκτέλεσής του, σηματοδοτώντας μια νέα εποχή για το κυβερνοέγκλημα.
Σύμφωνα με έρευνα της εταιρείας κυβερνοασφάλειας ESET, το PromptSpy χρησιμοποιεί το ίδιο μοντέλο AI της Google, το Gemini, το οποίο βρίσκεται ήδη σε εκατομμύρια συσκευές.
Μέσω αυτού, το malware μπορεί να χειραγωγεί αθόρυβα τη συσκευή του χρήστη, καταγράφοντας την οθόνη, παρακολουθώντας τη δραστηριότητα και εμποδίζοντας την απεγκατάστασή του.
Η λειτουργία του PromptSpy και ο ρόλος του Gemini
Οι επιτιθέμενοι βασίζονται σε προτροπές προς το μοντέλο τεχνητής νοημοσύνης Gemini για να χειραγωγήσουν κακόβουλα τη διεπαφή χρήστη.
Το PromptSpy μπορεί να καταγράψει δεδομένα από την οθόνη κλειδώματος, να εμποδίσει προσπάθειες απεγκατάστασης, να συλλέξει πληροφορίες για τη συσκευή, να λάβει στιγμιότυπα οθόνης και να καταγράψει τη δραστηριότητα σε μορφή βίντεο.
Η εφαρμογή εμφανίζεται με το όνομα MorganArg και εικονίδιο που παραπέμπει στην Morgan Chase, επιχειρώντας να παραπλανήσει τους χρήστες ότι συνδέεται με την τράπεζα.
Ανθεκτικότητα και διανομή του κακόβουλου λογισμικού
Αν και η γενετική τεχνητή νοημοσύνη χρησιμοποιείται σε περιορισμένο τμήμα του κώδικα, η συμβολή της είναι καθοριστική για την ανθεκτικότητα του PromptSpy.
Το Gemini παρέχει οδηγίες για το πώς να «κλειδώνει» η κακόβουλη εφαρμογή στη λίστα πρόσφατων εφαρμογών, αποτρέποντας έτσι τη διαγραφή της. Οι σχετικές προτροπές είναι προκαθορισμένες στον κώδικα και δεν μπορούν να μεταβληθούν.
Το PromptSpy διανέμεται αποκλειστικά μέσω εξειδικευμένης ιστοσελίδας και δεν έχει κυκλοφορήσει ποτέ στο Google Play. Ως συνεργάτης της App Defense Alliance, η ESET ενημέρωσε την Google για τα ευρήματά της. Οι χρήστες Android προστατεύονται αυτόματα από γνωστές εκδόσεις μέσω του Google Play Protect, που είναι ενεργοποιημένο από προεπιλογή σε συσκευές με Google Play Services.
Πώς μπορούν οι χρήστες να το αφαιρέσουν
Επειδή το PromptSpy μπλοκάρει την απεγκατάσταση μέσω επικάλυψης αόρατων στοιχείων, η μόνη λύση είναι η επανεκκίνηση της συσκευής σε ασφαλή λειτουργία. Εκεί, οι εφαρμογές τρίτων κατασκευαστών απενεργοποιούνται, επιτρέποντας την κανονική απεγκατάστασή τους.
Αφού το τηλέφωνο επανεκκινήσει σε ασφαλή λειτουργία, ο χρήστης μπορεί να μεταβεί στις Ρυθμίσεις → Εφαρμογές → MorganArg και να προχωρήσει στην απεγκατάσταση χωρίς εμπόδια.
