Троян PromptSpy: ИИ Gemini используется для кибератак

Специалисты по кибербезопасности из ESET выявили новый Android-троян, получивший название PromptSpy, который использует нейросеть Google Gemini для управления зараженным устройством. Это первый зафиксированный случай применения генеративного искусственного интеллекта в процессе осуществления кибератаки на мобильные платформы.

PromptSpy функционирует, отправляя Gemini XML-данные текущего экрана смартфона с описанием всех его элементов. В ответ нейросеть генерирует последовательность инструкций в формате JSON, указывающих, куда следует нажать для выполнения заданной задачи. Такой адаптивный механизм позволяет трояну эффективно работать на различных версиях Android, независимо от фирменных оболочек и настроек разрешения экрана, поскольку ему не требуются заранее заданные координаты.

После закрепления в системе и блокировки возможности закрытия приложения свайпом, PromptSpy активирует встроенный VNC-модуль, предоставляющий полный удаленный контроль над устройством. По данным ESET, вредонос способен перехватывать PIN-коды и пароли, записывать видео, делать скриншоты и собирать информацию об аппаратной части. Управление программой осуществляется через сервер с фиксированным IP-адресом, откуда также поступает ключ для доступа к Gemini.

Для маскировки своей активности PromptSpy задействует службы специальных возможностей Android и скрытые оверлеи, что делает стандартное удаление приложения неэффективным. Избавиться от угрозы возможно только в безопасном режиме.

Данная кампания имеет финансовую направленность и распространяется через фишинговый веб-сайт, имитирующий JPMorgan Chase Argentina (приложение MorganArg). Вредонос не проходит проверку в Google Play. Обнаруженные в коде отладочные строки на упрощенном китайском языке указывают на возможное происхождение разработки. Эксперты ESET отмечают, что PromptSpy является усовершенствованной версией ранее известной вредоносной программы VNCSpy.