Первый Android-вирус с поддержкой ИИ: что известно о PromptSpy и чем он опасен
Компания ESET обнаружила новый вредонос для Android, который может стать тревожным сигналом для всей индустрии мобильной безопасности. Речь идёт о программе PromptSpy — первом известном вирусе, способном использовать возможности чат-бота Google Gemini для закрепления на заражённом устройстве. По предварительным данным, атака ориентирована на пользователей в Аргентине, а происхождение вредоноса может быть связано с Китаем.
ИИ как инструмент киберпреступников
Сам факт интеграции генеративного ИИ во вредоносное ПО эксперты называют качественным скачком в эволюции мобильных угроз. PromptSpy обращается к Gemini через API с заранее подготовленными запросами.
Хотя сам модуль взаимодействия с ИИ относительно невелик, его роль критична: он анализирует изображение экрана смартфона и помогает вредоносу ориентироваться в интерфейсе.
По данным ESET, Gemini используется для:
- распознавания элементов пользовательского интерфейса;
- пошаговой навигации по системе;
- закрепления вредоноса в списке последних приложений;
- усложнения удаления программы.
Фактически злоумышленники получили универсальный «глаз», способный адаптироваться почти к любой версии Android и оболочке производителя.
«Подключение к генеративному ИИ позволяет злоумышленникам адаптироваться практически к любому устройству», —
отмечают исследователи.
Как распространяется PromptSpy
Следы атаки привели специалистов к фишинговому сайту, использовавшему брендинг JPMorgan Chase Argentina. Это указывает на чёткую региональную направленность кампании.
Образцы вредоноса были загружены на платформу Google VirusTotal из Аргентины, где их и обнаружили аналитики.
Сценарий заражения
- Пользователю предлагают установить приложение MorganArg.
- На деле это загрузчик вредоносного ПО.
- После выдачи разрешений устройство связывается с сервером злоумышленников.
- Загружается основной модуль, включая компонент удалённого доступа (VNC).
- Запрашивается доступ к службе специальных возможностей Android.
- После этого оператор фактически получает полный контроль над смартфоном.
Что умеет вредонос
По оценке ESET, возможности PromptSpy весьма серьёзные:
- просмотр всего происходящего на экране;
- удалённое выполнение касаний, свайпов и жестов;
- ввод текста от имени пользователя;
- перехват PIN-кода блокировки;
- запись действий на устройстве.
Эксперты подчёркивают: оператор может управлять смартфоном так, «как если бы физически держал его в руках».
Почему его трудно удалить
Отдельную опасность представляет механизм самозащиты PromptSpy. Вредонос:
- накладывает невидимые «прозрачные прямоугольники» на экран;
- блокирует нажатия при попытке удаления;
- мешает принудительной остановке.
Фактически пользователь не может взаимодействовать с элементами управления, чтобы избавиться от угрозы.
Рабочий способ удаления — только загрузка устройства в безопасном режиме, где сторонние приложения отключаются и могут быть удалены штатно.
Возможное происхождение
В коде PromptSpy обнаружены фрагменты на китайском языке. Это косвенно указывает на возможное китайское происхождение вредоноса, однако прямых доказательств пока нет.
При этом исследователи отмечают важную деталь: образцы полноценной полезной нагрузки пока не выявлены. Не исключено, что PromptSpy — демонстрационная или тестовая разработка, показывающая потенциал новой техники.
Есть ли угроза пользователям Google Play
На момент публикации:
- заражённых приложений в Google Play Маркет не обнаружено;
- встроенная защита Google Play Protect успешно блокирует угрозу.
Тем не менее сам факт появления ИИ-поддерживаемого вредоноса эксперты считают тревожным сигналом.
Почему PromptSpy — важный прецедент
Главная опасность новинки — не текущий масштаб, а технологический подход. Использование генеративного ИИ даёт злоумышленникам:
- универсальную адаптацию под разные устройства;
- снижение затрат на разработку под каждую версию Android;
- более «человеческое» поведение вредоноса;
- потенциально более быстрый обход защит.
Если технология получит распространение, мобильные угрозы могут стать значительно умнее и живучее.
Что делать пользователям уже сейчас
Специалисты рекомендуют базовые, но эффективные меры:
- устанавливать приложения только из официальных источников;
- внимательно проверять запрашиваемые разрешения;
- не переходить по банковским ссылкам из писем и сообщений;
- держать включённым Play Protect;
- регулярно обновлять систему.
PromptSpy пока не выглядит массовой угрозой, но он демонстрирует новую тенденцию — приход генеративного ИИ в арсенал киберпреступников. Если подобные технологии начнут использоваться широко, рынок мобильной безопасности может столкнуться с принципиально новым классом атак, где вредонос умеет «видеть» интерфейс почти так же, как человек.
Именно поэтому эксперты уже сейчас называют обнаружение PromptSpy тревожным звоночком для всей экосистемы Android.
Ранее журналисты сайта «Пронедра» писали, что связывало Джеффри Эпштейна и мир хакеров
