Pierwszy taki malware. Wykradnie wszystko, włącznie z kasą z konta

Oprogramowanie otrzymało nazwę PromptSpy i według firmy ESET wywodzi się od innej rodziny malware o nazwie VNCSpy. Co jest w nim takiego wyjątkowego? Jest to pierwsze albo jedno z pierwszych złośliwych oprogramowań na Androida, które w trakcie działania wykorzystuje generatywną AI, a konkretnie - co wydaje się trochę absurdalne - model Google Gemini.

PromptSpy malware na Androida

Jak malware wykorzystuje Gemini? W nietypowy sposób. Na niektórych telefonach można przypiąć aplikacje na liście ostatnio używanych. W ten sposób Android nie usuwa jej w momencie, w której masowo wyłączamy wszystkie apki i nadal działa ona w tle.

Rzecz w tym, że metoda na przypinanie aplikacji różni się w zależności od producenta telefonu. No i właśnie w tym celu PromptSpy robi zrzut ekranu w formie XML i wysyła go do Gemini. Ten następnie przesyła mu w odpowiedzi instrukcje w formacie JSON, jak dokonać przypięcia aplikacji. Malware je wykonuje, dzięki uprawnieniom w ramach usługi ułatwień dostępu systemu Android. Następnie znowu przesyła zapytanie do AI, aby potwierdzić, że proces zakończył się powodzeniem.

Według firmy ESET złośliwe oprogramowanie może:

• Przesyłać listę zainstalowanych aplikacji.
• Przechwytywać kody PIN lub hasła blokady ekranu.
• Nagrywać wzór odblokowania ekranu w formie wideo.
• Wykonuje zrzuty ekranu na żądanie.
• Rejestrować aktywność ekranu i gesty użytkownika.
• Zgłaszać aktualną aplikację działającą w tle i status ekranu.

To daje ogromne możliwości, które pozwalają na przejmowanie kont w mediach społecznościowych, aplikacjach oraz różnych usługach, a także potencjalnie może prowadzić do wyczyszczenia konta bankowego.