Специалисты ESET выявили первый вредоносный Android-троян, который применяет нейросеть Google Gemini прямо в процессе атаки. Программа получила название PromptSpy и использует генеративный ИИ для обхода интерфейса смартфона и закрепления в системе, сообщает Anti-Malware.ru.
Троян передаёт модели Gemini XML-дамп экрана с описанием всех интерфейсных элементов. На основе этих данных нейросеть формирует пошаговые инструкции в формате JSON, указывая, какие кнопки нажать. Такой подход позволяет вредоносному ПО работать на разных версиях Android и фирменных оболочках, не полагаясь на заранее прописанные координаты.
Когда приложение закрепляется в списке недавних и его уже нельзя закрыть свайпом, PromptSpy активирует встроенный VNC-модуль и получает полный удалённый доступ к смартфону. По данным ESET, троян способен перехватывать PIN-код, пароль, делать скриншоты, записывать видео и собирать сведения об устройстве. Управление идёт через сервер с фиксированным IP-адресом, откуда зловред получает и ключ для доступа к Gemini.
Для маскировки используются службы доступности Android и невидимые оверлеи, из-за чего обычное удаление не работает — избавиться от трояна можно только через безопасный режим.
PromptSpy распространяется через фишинговый сайт, имитирующий JPMorgan Chase Argentina (приложение MorganArg), и не имеет отношения к Google Play. В коде обнаружены строки отладки на упрощённом китайском, что может указывать на происхождение разработки. Эксперты считают, что новинка стала развитием трояна VNCSpy, обнаруженного месяцем ранее.