Появился первый Android-вирус, который превращает Gemini в инструмент для взлома

Специалисты компании ESET обнаружили ^[1]первый Android-троян, который использует для атаки искусственный интеллект ^[2]. В процессе заражения инструмент PromptSpy обращается к облачной модели Google Gemini для анализа экрана жертвы.

Троян отправляет в Gemini XML-разметку экрана жертвы. Gemini обрабатывает эту информацию и отвечает инструкциями в формате JSON, которые указывают вредоносной программе, какое действие выполнить (например, где кликнуть).

Цель PromptSpy — получить права на специальные возможности через Accessibility Service. В случае успеха вирус активирует VNC-модуль для удалённого доступа, что даёт злоумышленнику возможность наблюдать за всеми действиями на экране устройств, записывать видео с демонстрацией графического ключа, перехватывать PIN-коды и пароли для разблокировки. В результате смартфон становится полноценным инструментом для видеонаблюдения, фиксируя каждое действие владельца.

При этом, если жертва зайдёт в настройки, чтобы отозвать разрешения или стереть приложение, троян накладывает на кнопки «Остановить», «Удалить» и «Отключить» прозрачные слои. Пользователь думает, что нажимает нужную опцию, но ничего не происходит. Такая маскировка делает стандартные способы очистки бесполезными.

Единственный надёжный метод борьбы, по словам специалистов ESET, — перезагрузка в безопасном режиме. Она блокирует сторонник приложения, и троян можно удалить вручную через настройки.