Analitycy ESET odkryli PromptSpy, pierwsze znane złośliwe oprogramowanie na system Android, które wykorzystuje generatywną sztuczną inteligencję, aby zapewnić sobie ciągłość działania. Jest to pierwszy przypadek, w którym generatywna AI została wdrożona w ten sposób.
Ponieważ cyberprzestępcy polegają na promptowaniu modelu AI (konkretnie Google Gemini), aby manipulować interfejsem użytkownika, ESET nazwał tę rodzinę oprogramowania PromptSpy.
Zaawansowane zagrożenie
Malware ten potrafi przechwytywać dane z ekranu blokady, blokować próby odinstalowania, gromadzić informacje o urządzeniu, wykonywać zrzuty ekranu, nagrywać aktywność ekranu w formie wideo i nie tylko. Jest to kolejne złośliwe oprogramowanie oparte na sztucznej inteligencji odkryte przez ESET, po zidentyfikowanym w sierpniu 2025 roku PromptLock, który był pierwszym znanym przypadkiem ransomware wykorzystującego AI.
Analitycy ESET odkryli PromptSpy, pierwsze znane złośliwe oprogramowanie na system Android, które wykorzystuje generatywną sztuczną inteligencję, aby zapewnić sobie ciągłość działania. Jest to pierwszy przypadek, w którym generatywna AI została wdrożona w ten sposób.
Choć generatywna AI została wdrożona tylko w stosunkowo niewielkiej części kodu PromptSpy — odpowiedzialnej za zapewnienie ciągłości działania — nadal ma ona znaczący wpływ na zdolność adaptacji tego złośliwego oprogramowania.
Narzędzie AI Google Gemini jest wykorzystywane, aby dostarczyć PromptSpy instrukcji, jak sprawić, by złośliwa aplikacja została przypięta na liście ostatnio używanych, utrudniając w ten sposób jej łatwe zamknięcie poprzez przesunięcie palcem lub zakończenie procesu przez system. Model AI oraz prompt są zdefiniowane w kodzie na sztywno i nie mogą zostać zmienione.
Jak to działa?
"Ponieważ złośliwe oprogramowanie na Androida często opiera się na nawigacji opartej na interfejsie użytkownika, wykorzystanie generatywnej AI umożliwia cyberprzestępcom dostosowanie się do niemal każdego urządzenia, układu graficznego czy wersji systemu operacyjnego, co może znacznie zwiększyć pulę potencjalnych ofiar. Głównym celem PromptSpy jest wdrożenie wbudowanego modułu VNC, dającego operatorom zdalny dostęp do urządzenia ofiary. To złośliwe oprogramowanie na Androida nadużywa również usług ułatwień dostępu, blokując odinstalowanie za pomocą niewidocznych nakładek, a także przechwytuje dane z ekranu blokady i nagrywa aktywność ekranu jako wideo" - mówi Lukáš Štefanko, badacz ESET, który odkrył PromptSpy.
PromptSpy jest rozpowszechniany za pośrednictwem dedykowanej strony internetowej i nigdy nie był dostępny w sklepie Google Play. ESET przekazał jednak swoje ustalenia firmie Google. Użytkownicy Androida są automatycznie chronieni przed znanymi wersjami tego złośliwego oprogramowania poprzez usługę Google Play Protect, która jest domyślnie włączona na urządzeniach z Androidem wyposażonych w Google Play Services.
Co robić?
Ponieważ PromptSpy blokuje odinstalowanie poprzez nakładanie niewidocznych elementów na ekran, jedynym sposobem na usunięcie go jest ponowne uruchomienie urządzenia w trybie awaryjnym (Safe Mode), w którym aplikacje innych firm są wyłączone i można je normalnie odinstalować.
Aby wejść w tryb awaryjny, użytkownicy zazwyczaj powinni nacisnąć i przytrzymać przycisk zasilania, długo przytrzymać opcję „Wyłącz”, a następnie potwierdzić komunikat o ponownym uruchomieniu w trybie awaryjnym (choć dokładna metoda może się różnić w zależności od urządzenia i producenta). Gdy telefon uruchomi się ponownie w trybie awaryjnym, użytkownik może przejść do sekcji Ustawienia → Aplikacje → MorganArg i odinstalować ją bez żadnych przeszkód.
Szczegółowa analiza PromptSpy jest dostępna na stronie ESET.
Spodobało Ci się? Podziel się ze znajomymi!
Pokaż / Dodaj komentarze do:
ESET odkrywa PromptSpy. Pierwsze złośliwe oprogramowanie na system Android wykorzystujące AI