Специалисты по кибербезопасности обнаружили новый вид вредоносного программного обеспечения для Android, который применяет инструменты генеративного искусственного интеллекта Google Gemini для повышения своей устойчивости на устройстве жертвы.
Об этом сообщает ProIT
Особенности работы PromptSpy
Зловредная программа, идентифицированная как PromptSpy, ориентирована на получение полного контроля над мобильными устройствами. Ее основной задачей является установка и активация модуля виртуальной сетевой консоли (VNC), что позволяет киберпреступникам перехватывать данные экрана блокировки, собирать информацию о устройстве, делать скриншоты, записывать действия пользователя и усложнять процесс удаления вредоносного ПО.
С целью обеспечения постоянного присутствия на устройстве PromptSpy использует возможности Google Gemini. По данным исследовательской команды ESET, этот сервис помогает интерпретировать элементы интерфейса экрана и генерировать динамические инструкции для выполнения жестов, которые позволяют трояну оставаться активным в списке недавних приложений. Это усложняет для пользователя удаление вредоносной программы или принудительное завершение ее процесса.
Роль искусственного интеллекта в современных кибератаках
Эксперт ESET Лукаш Штефанко подчеркнул, что хотя роль GenAI в деятельности PromptSpy в настоящее время ограничена, дальнейшее внедрение генеративного ИИ может существенно повысить адаптивность подобных угроз.
«Поскольку вредоносные программы для Android часто полагаются на навигацию по пользовательскому интерфейсу, использование генеративного ИИ позволяет киберпреступникам адаптироваться практически к любому устройству, компоновке или версии операционной системы, что может значительно увеличить число потенциальных жертв», — сказал он.
Штефанко также отметил, что благодаря Google Gemini киберпреступники получают возможность автоматизировать сложные действия, которые ранее требовали значительных усилий с помощью традиционного скриптинга. Несмотря на то, что PromptSpy использует инструменты ИИ лишь в одной из своих функций, это демонстрирует потенциал генеративных технологий для усложнения борьбы с киберугрозами.
По признакам локализации и особенностям распространения, PromptSpy, вероятно, разработан финансово мотивированными злоумышленниками и использует брендинг Morgan Chase, нацеливаясь на пользователей в Аргентине. В то же время, в настоящее время эта программа не обнаружена в общедоступной телеметрии ESET, что свидетельствует о ее статусе proof of concept. PromptSpy отсутствует в Google Play и распространяется через отдельный вебсайт, на который злоумышленники заманивают потенциальных жертв.
Известно, что о открытии PromptSpy было сообщено Google в рамках программы App Defense Alliance. Пользователи Android защищены от известных версий угрозы благодаря Google Play Protect, который автоматически блокирует попытки установки вредоносного ПО.