5

Найден первый Android-троян, которым управляют через ИИ Gemini

Специалисты из ESET, компании, занимающейся вопросами кибербезопасности, обнаружили первую вредоносную программу для Android, которая задействует нейросеть Google Gemini в процессе осуществления кибератаки. Троян, получивший наименование PromptSpy, использует возможности генеративного искусственного интеллекта для навигации по пользовательскому интерфейсу смартфона и обеспечения своего устойчивого присутствия в системе. Согласно данным, опубликованным на Anti-Malware.ru, этот вредонос нацелен на Gemini, отправляя...

Найден первый Android-троян, которым управляют через ИИ Gemini

Специалисты из ESET, компании, занимающейся вопросами кибербезопасности, обнаружили первую вредоносную программу для Android, которая задействует нейросеть Google Gemini в процессе осуществления кибератаки. Троян, получивший наименование PromptSpy, использует возможности генеративного искусственного интеллекта для навигации по пользовательскому интерфейсу смартфона и обеспечения своего устойчивого присутствия в системе.

Согласно данным, опубликованным на Anti-Malware.ru, этот вредонос нацелен на Gemini, отправляя ему XML-данные текущего экрана с подробным описанием всех его элементов. В свою очередь, нейросеть генерирует последовательность указаний в формате JSON, которые определяют, куда именно следует совершить нажатие для выполнения поставленной задачи.

Такой адаптивный подход позволяет трояну функционировать на различных версиях Android, с разными фирменными оболочками и настройками разрешения экрана, поскольку ему не требуется иметь заранее определенные координаты. После того как приложение фиксируется в списке недавно открытых и становится недоступным для закрытия свайпом, PromptSpy активирует встроенный VNC-модуль, предоставляющий полный удаленный контроль над устройством.

Представители ESET пояснили: «В ответ на запрос модель формирует пошаговые инструкции в формате JSON, указывая, где и что необходимо нажать». Вредонос умеет перехватывать PIN-коды и пароли для разблокировки экрана, записывать видео, делать скриншоты и собирать информацию об аппаратной части устройства. Управление программой осуществляется через сервер с фиксированным IP-адресом, откуда троян также получает ключ для доступа к Gemini.

Для сокрытия своей активности используются службы специальных возможностей Android и скрытые оверлеи, что делает стандартное удаление приложения неэффективным; избавиться от этой угрозы можно лишь в безопасном режиме. Данная кампания имеет финансовую направленность и распространяется посредством фишингового веб-сайта, маскирующегося под JPMorgan Chase Argentina (под названием приложения MorganArg), и не проходит проверку в Google Play. Отладочные строки на упрощенном китайском языке, обнаруженные в коде, указывают на возможное происхождение разработки. Эксперты отмечают, что PromptSpy представляет собой усовершенствованную версию вредоносной программы VNCSpy, которая была замечена в прошлом месяце.