Фахівці з кібербезпеки виявили новий різновид шкідливого програмного забезпечення для Android, який застосовує інструменти генеративного штучного інтелекту Google Gemini для підвищення своєї стійкості на пристрої жертви.
Про це розповідає ProIT
Особливості роботи PromptSpy
Зловмисна програма, ідентифікована як PromptSpy, орієнтована на отримання повного контролю над мобільними пристроями. Її основним завданням є встановлення та активація модуля віртуальної мережевої консолі (VNC), що дозволяє кіберзлочинцям перехоплювати дані екрану блокування, збирати інформацію про пристрій, робити скріншоти, записувати дії користувача та ускладнювати процес видалення шкідливого ПЗ.
Задля забезпечення постійної присутності на пристрої PromptSpy використовує можливості Google Gemini. За даними дослідницької команди ESET, цей сервіс допомагає інтерпретувати елементи інтерфейсу екрану та генерувати динамічні інструкції для виконання жестів, які дозволяють трояну залишатися активним у списку нещодавніх застосунків. Це ускладнює для користувача видалення шкідливої програми або примусове завершення її процесу.
Роль штучного інтелекту у сучасних кібератаках
Експерт ESET Лукаш Штефанко підкреслив, що хоча роль GenAI у діяльності PromptSpy наразі обмежена, подальше впровадження генеративного ШІ може суттєво підвищити адаптивність подібних загроз.
«Оскільки шкідливі програми для Android часто покладаються на навігацію по користувальницькому інтерфейсу, використання генеративного ШІ дозволяє кіберзлочинцям адаптуватися практично до будь-якого пристрою, компонування або версії операційної системи, що може значно збільшити число потенційних жертв», — сказав він.
Штефанко також зазначив, що завдяки Google Gemini кіберзлочинці отримують можливість автоматизувати складні дії, які раніше потребували значних зусиль за допомогою традиційного скриптингу. Попри те, що PromptSpy використовує інструменти ШІ лише в одній зі своїх функцій, це демонструє потенціал генеративних технологій для ускладнення боротьби з кіберзагрозами.
За ознаками локалізації та особливостями поширення, PromptSpy, ймовірно, розроблений фінансово мотивованими зловмисниками і використовує брендинг Morgan Chase, націлюючись на користувачів в Аргентині. Водночас, наразі ця програма не виявлена в загальнодоступній телеметрії ESET, що свідчить про її статус proof of concept. PromptSpy відсутній у Google Play і розповсюджується через окремий вебсайт, на який зловмисники заманюють потенційних жертв.
Відомо, що про відкриття PromptSpy було повідомлено Google у межах програми App Defense Alliance. Користувачі Android захищені від відомих версій загрози завдяки Google Play Protect, який автоматично блокує спроби встановлення шкідливого ПЗ.