Az ESET felfedezte az első Android‑vírust, amely a Google Gemini-t használja – PromptSpy

Mi az a PromptSpy?

Az ESET cég fejlesztői új Androidra szánt rosszindulatú programot fedeztek fel, amelyet PromptSpy-nak neveznek. Ez az első vírus, amely közvetlenül a Google Gemini chat-botjára fordul API-n keresztül, és a generatív MI képességeit használja arra, hogy „rögzüljön” a fertőzött eszközön.

Hogyan működik a PromptSpy
1. Kapcsolódás a Geminihez

A rosszindulatú program előre elkészített kéréseket küld a Gemini felé, és lépésenkénti utasításokat kap vissza. Ezekkel az utasításokkal elemzi az eszköz képernyőjét (például felismeri a képeket) és meghatározza, hogyan hagyja magát a legutóbbi alkalmazások listájában.

2. Távoli hozzáférési modul telepítése

Miután a felhasználó beleegyezik az MorganArg alkalmazás (valójában rosszindulatú program) telepítésébe, a PromptSpy kapcsolatba lép a támadók által irányított szerverrel és letölti a kód maradványait. Ebben megvalósítva van egy virtuális hálózat (VNC) modulja és speciális szolgáltatásokhoz való hozzáférési kérés, amely távoli vezérlést tesz lehetővé az Android eszköz felett.

3. A hagyományos eltávolítási módok megkerülése

A rosszindulatú program „átlátszó téglalapokat” helyez a képernyőre, blokkolva a tapintásokat kritikus zónákban és nehezítve az alkalmazás kényszerített leállítását. Csak biztonsági módban lehet eltávolítani, ahol harmadik féltől származó programok le vannak tiltva.

4. További funkciók

- Lehetőség a képernyőzár PIN-kódjainak elfogására.
- Képernyőre történő cselekedetek rögzítése (swipe, szövegbevitel).
- Fizikai interakció szimulálása az eszközzel – mintha egy operátor kézi úton tartaná a telefont.

Származás és célja a támadásnak
- Régióspecifikus irányultság: A PromptSpy terjesztésére használt phishing oldal *JPMorgan Chase Argentina* márkázást használ, célcsoportként Argentínából származó felhasználókat jelölve.
- Megjelenése a hálózatban: A vírus felfedezése után mintákat feltöltöttek Argentínából a Google VirusTotal platformra.
- Kínai nyomok: A kódban kínai nyelvű szakaszok találhatók, amelyek megerősítik a fejlesztés Kína területén történt feltételezését.

Hogyan védekezzünk
- Google Play Protect: Az ESET adatai szerint a Google védelmi szolgáltatása már blokkolja a PromptSpy-t, és az alkalmazás még nem található meg a Play Marketben.
- Operációs rendszer és alkalmazások frissítései: Telepítsük az Android legfrissebb biztonsági frissítéseit, és csak megbízható forrásokból töltsünk le programokat.
- Óvatosság a engedélyekkel: Ne fogadjon el olyan telepítési kéréseket, amelyek nem ellenőrzött alkalmazásokhoz kapcsolódnak, különösen ha speciális szolgáltatásokhoz való hozzáférést kérnek.

Összefoglalás
A PromptSpy új szintű interakciót mutat a rosszindulatú szoftver és a generatív MI‑szolgáltatások között. A Gemini segítségével a vírus alkalmazkodhat bármilyen eszközhöz és operációs rendszerhez, ami növeli a fertőzés kockázatát. Bár az eltávolítása nehéz, a biztonsági mód segít megszabadulni tőle, és a Google Play Protect beépített mechanizmusai már biztosítják a felhasználók védelmét.