Специалисты компании ESET обнаружили первый Android-троян, который использует для атаки искусственный интеллект. В процессе заражения инструмент PromptSpy обращается к облачной модели Google Gemini для анализа экрана жертвы.
Троян отправляет в Gemini XML-разметку экрана жертвы. Gemini обрабатывает эту информацию и отвечает инструкциями в формате JSON, которые указывают вредоносной программе, какое действие выполнить (например, где кликнуть).
Цель PromptSpy — получить права на специальные возможности через Accessibility Service. В случае успеха вирус активирует VNC-модуль для удалённого доступа, что даёт злоумышленнику возможность наблюдать за всеми действиями на экране устройств, записывать видео с демонстрацией графического ключа, перехватывать PIN-коды и пароли для разблокировки. В результате смартфон становится полноценным инструментом для видеонаблюдения, фиксируя каждое действие владельца.
При этом, если жертва зайдёт в настройки, чтобы отозвать разрешения или стереть приложение, троян накладывает на кнопки «Остановить», «Удалить» и «Отключить» прозрачные слои. Пользователь думает, что нажимает нужную опцию, но ничего не происходит. Такая маскировка делает стандартные способы очистки бесполезными.
Единственный надёжный метод борьбы, по словам специалистов ESET, — перезагрузка в безопасном режиме. Она блокирует сторонник приложения, и троян можно удалить вручную через настройки.
Автор: AnnieBronson
