Новый вредоносный код для Android, который, вероятно, использует genai-инструмент Google Gemini, помогает ему сохранять постоянство на устройстве.
Обнаруженная вредоносная программа для Android, нацеленная на захват контроля над мобильными устройствами, предположительно использует сервисы генеративного ИИ (GenAI) для обеспечения своего постоянного присутствия на смартфоне жертвы, сообщили исследователи ESET.
Основная цель недавно обнаруженного вредоносного ПО PromptSpy-развернуть и запустить на устройстве жертвы модуль виртуальной сетевой консоли (VNC), позволяющий злоумышленникам захватывать данные экрана блокировки, собирать информацию об устройстве, делать снимки экрана, записывать действия и блокировать удаление. Но для этого ему необходимо сначала установить постоянное присутствие на устройстве, и именно здесь в игру вступает GenAI, указывает команда ESET.
По их словам, PromptSpy использует встроенный сервис Google Gemini для интерпретации экранных элементов и предоставления динамических инструкций о том, как выполнить определенный жест, который позволит ему оставаться в списке последних приложений устройства. Теоретически это не позволяет пользователю легко удалить его или систему — завершить процесс.
Исследователь ESET Лукаш Штефанко отметил, что, хотя GenAI играет лишь незначительную роль в потоке выполнения PromptSpy, он может оказать существенное влияние на потенциальную адаптивность вредоносного ПО. «Поскольку вредоносные программы для Android часто полагаются на навигацию по пользовательскому интерфейсу, использование генеративного ИИ позволяет киберпреступникам адаптироваться практически к любому устройству, компоновке или версии операционной системы, что может значительно увеличить число потенциальных жертв»,-сказал он.
«Несмотря на то, что PromptSpy использует Gemini только в одной из своих функций, это все же демонстрирует, как внедрение этих инструментов может сделать вредоносное ПО более динамичным, предоставляя киберпреступникам способы автоматизировать действия, которые обычно были бы затруднены с помощью традиционного скриптинга».
Штефанко заявил, что, судя по признакам локализации и векторам распространения, PromptSpy, вероятно, управляется финансово мотивированным киберпреступником, использует брендинг Morgan Chase и, возможно, таргетирует пользователей в Аргентине.
Однако он также подчеркнул, что вредоносная программа еще не обнаружена в более широкой телеметрии ESET, что может указывать на то, что на данный момент это всего лишь proof of concept (PoC). Он также не был замечен в магазине Google Play — его можно скачать только с выделенного веб-сайта, на который жертв необходимо заманить.
Computer Weekly стало известно, что открытие Штефанко было передано Google через приложение App Defense Alliance, и пользователи Android уже должны быть автоматически защищены от известных версий вредоносного программного обеспечения сервисом Google Play Protect.