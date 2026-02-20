В екосистемі Android виявлено перше шкідливе ПЗ, яке координує свою роботу зі штучним інтелектом

Дослідники з компанії ESET виявили перше шкідливе програмне забезпечення для Android, яке не тільки розроблене з використанням моделі штучного інтелекту Gemini, але й координує з нею свою роботу. Про це пише The Hacker News.

Шкідливе ПЗ отримало кодову назву PromptSpy. Воно перехоплює дані з екрану блокування, блокує спроби свого видалення, збирає інформацію про пристрій, створює скріншоти та записує активність на екрані смартфону у вигляді відео.

«Gemini використовується для аналізу поточного екрана та надання PromptSpy покрокових інструкцій щодо того, як забезпечити закріплення шкідливого застосунку у списку нещодавніх використаних додатків, тим самим запобігаючи його легкому видаленню або знищенню системою», — розповідає дослідник ESET Лукаш Штефанко.

Використання генеративного штучного інтелекту в PromptSpy дозволяє зловмисникам адаптуватися практично до будь-якого пристрою чи версії ОС, що може значно розширити коло потенційних жертв.

Шкідливий застосунок надсилає Gemini підказку природною мовою разом із XML-дампом поточного екрана, який містить детальну інформацію про кожен елемент інтерфейсу, включаючи текст, тип та точне положення на дисплеї.

Потім Gemini обробляє цю інформацію та відповідає інструкціями JSON, які повідомляють PromptSpy, яку дію треба виконати (наприклад, натискання на екрані), та де саме її зробити. Багатоетапна взаємодія триває, поки додаток не буде заблоковано у списку нещодавно використаних додатків.

Головна мета PromptSpy — розгорнути вбудований модуль VNC, який надає зловмисникам віддалений доступ до пристрою жертви.

Варто зазначити, що дії, запропоновані Gemini, виконуються через служби доступності, що дозволяє шкідливому програмному забезпеченню взаємодіяти з пристроєм без втручання користувача. Все це досягається шляхом зв’язку із сервером C2 для отримання ключа API Gemini, створення скріншотів на вимогу, перехоплення PIN-коду або пароля блокування екрана та відеозапису дій на екрані.

Скоріше за все, PromptSpy створили в китайськомовному середовищі, про що свідчить наявність рядків налагодження, написаних спрощеною китайською мовою.

«PromptSpy розповсюджується спеціалізованим веб-сайтом і ніколи не був доступний у Google Play», — додав Штефанко.

Оскільки PromptSpy запобігає самовидаленню, накладаючи невидимі елементи на екран, єдиний спосіб для жертви позбутися його — це перезавантажити пристрій у безпечному режимі, де сторонні програми вимкнені та їх можна видалити.

