ESET е идентифицирала първия вирус за Android, който използва Google Gemini – PromptSpy

Известният разработчик на решения за сигурност ESET съобщи за откриването на PromptSpy, който е определен като първия вирус за Android, който се свързва с чатбота Gemini на Google, за да се установи на заразено устройство. Има индикации, че целите му са в Аржентина, а за зловредния софтуер се смята, че е разработен в Китай.

Вирусът е наречен PromptSpy, защото осъществява достъп до Gemini чрез API с предварително зададени заявки и инсталира модул на заразеното устройство, който осигурява отдалечен достъп до даденото устройство.

Компонентът на зловредния софтуер, свързан с Gemini е сравнително незначителен, отбелязват от ESET, но изпълнява важна функция – използва технологичните решения на Google, за да интерпретира потребителския интерфейс на заразеното устройство.

„Gemini по-специално се използва за анализиране на изображението на заразения екран и за изпращане на PromptSpy на инструкции стъпка по стъпка за това как зловредният софтуер може да се закрепи в списъка с последните приложения и по този начин да предотврати лесното му деинсталиране или прекратяване със системни средства. Зловредните приложения за Android често се ориентират по потребителския интерфейс, а използването на генеративен AI позволява на нападателите да се адаптират към практически всяко устройство, оформление или версия на операционната система, което може да разшири кръга на потенциалните жертви.“

се казва в доклада на ESET

Компанията проследи маршрута на зловредния софтуер до фишинг сайт, който разпространяваше PromptSpy чрез свързан домейн – и двата бяха офлайн по време на откриването, но бяха открити доказателства, че сайтовете използват брандинг на JPMorgan Chase Argentina, което показва регионален фокус на атаката. Експертите на ESET откриха PromptSpy, след като образци на вируса бяха качени от Аржентина в платформата за проверка на зловреден софтуер VirusTotal на Google.

Първоначалният етап на атаката иска от потребителя да предостави разрешения за инсталиране на MorganArg, което всъщност е зловредно приложение. Ако такова разрешение бъде дадено, устройството се свързва с контролиран от злоумишленика сървър за инсталиране на останалата част от зловредния софтуер. Комплектът включва модул за изчисления по виртуална мрежа (Virtual Networking Computing), като се прави заявка за достъп до услугата за специални възможности, с помощта на която киберпрестъпникът получава отдалечен достъп до заразеното Android устройство.

„Това позволява на операторите на зловреден софтуер да виждат всичко, което се случва на устройството, да извършват докосвания, плъзгания, жестови команди и да въвеждат текст, сякаш физически държат смартфона в ръцете си.“

казват от ESET и добавят, че зловредният софтуер може също така да прихваща ПИН кода за заключване на екрана и да записва действията на екрана на устройството

Не е лесно да се премахне – PromptSpy наслагва „прозрачни правоъгълници, невидими за потребителя в определени области на екрана“ и блокира командите за докосване при опит за деинсталиране или принудително спиране на приложението.

„Единственият начин да го премахнете е да рестартирате устройството в безопасен режим, когато приложенията на трети страни са деактивирани и премахнати по нормалния начин.“

обясняват експертите

Компютърният код на PromptSpy съдържа фрагменти на китайски език, което подсказва за произхода на вируса. Експертите на ESET все още не са виждали образци на програмата за изтегляне или полезния товар, така че зловредният софтуер вероятно засега е само демо версия. Все още не са открити заразени с PromptSpy приложения в магазина на Google Play Market, а Google Play Protect осигурява достатъчна защита срещу него, допълват от ESET.