Ένα νέο και ιδιαίτερα εξελιγμένο κακόβουλο λογισμικό για Android, το οποίο αξιοποιεί γενετική τεχνητή νοημοσύνη (Generative AI) για να χειραγωγεί τις συσκευές των χρηστών, εντόπισαν ερευνητές της εταιρείας κυβερνοασφάλειας ESET.
Το malware ονομάζεται PromptSpy και αποτελεί μια από τις πρώτες περιπτώσεις όπου κακόβουλο λογισμικό δεν περιορίζεται απλώς στην κλοπή δεδομένων, αλλά χρησιμοποιεί AI μοντέλο της Google (Gemini) για να ελέγχει τη συσκευή και να αποφεύγει τον εντοπισμό.
Σύμφωνα με την ESET, πρόκειται για το δεύτερο AI-powered malware που εντοπίζεται μέσα σε λιγότερο από έναν χρόνο, γεγονός που δείχνει ότι η τεχνητή νοημοσύνη μπαίνει πλέον δυναμικά στο οπλοστάσιο των κυβερνοεγκληματιών.
Πώς λειτουργεί το PromptSpy
Οι επιτιθέμενοι χρησιμοποιούν το Gemini της Google μέσω ειδικών προτροπών (prompts) για να χειραγωγούν τη διεπαφή χρήστη του κινητού.
Το κακόβουλο λογισμικό εμφανίζεται ως εφαρμογή με την ονομασία MorganArg, με εικονίδιο που θυμίζει την τράπεζα Morgan Chase, ώστε να πείθει τους χρήστες ότι πρόκειται για νόμιμη εφαρμογή.
Μόλις εγκατασταθεί στη συσκευή, μπορεί να:
καταγράφει δεδομένα από την οθόνη κλειδώματος
συλλέγει πληροφορίες για τη συσκευή
τραβά στιγμιότυπα οθόνης
καταγράφει τη δραστηριότητα της οθόνης σε μορφή βίντεο
παρακολουθεί τη χρήση εφαρμογών
μπλοκάρει την απεγκατάστασή του
Το Gemini χρησιμοποιείται για να δίνει στο malware οδηγίες σχετικά με το πώς να παραμένει ενεργό στο σύστημα. Συγκεκριμένα, το PromptSpy «καρφιτσώνει» την εφαρμογή στη λίστα των πρόσφατων εφαρμογών, ώστε να μην μπορεί να κλείσει ή να αφαιρεθεί εύκολα.
Οι οδηγίες προς το μοντέλο τεχνητής νοημοσύνης είναι ενσωματωμένες στον κώδικα του κακόβουλου λογισμικού και δεν μπορούν να τροποποιηθούν.
Πώς διανέμεται
Το PromptSpy δεν έχει εμφανιστεί ποτέ στο Google Play Store. Διανέμεται μέσω εξειδικευμένων ιστοσελίδων και εγκαθίσταται συνήθως μέσω APK αρχείων που κατεβάζουν οι χρήστες εκτός του επίσημου καταστήματος.
Η Google ενημερώθηκε για την απειλή μέσω της συνεργασίας της ESET με την App Defense Alliance, ενώ οι συσκευές Android προστατεύονται από γνωστές εκδόσεις του malware μέσω του Google Play Protect, το οποίο είναι ενεργοποιημένο από προεπιλογή.
Πώς να το αφαιρέσετε
Επειδή το PromptSpy εμποδίζει την απεγκατάσταση μέσω αόρατων στοιχείων που επικαλύπτουν την οθόνη, η αφαίρεσή του απαιτεί επανεκκίνηση του κινητού σε ασφαλή λειτουργία (Safe Mode).
Τα βήματα είναι τα εξής:
Επανεκκινήστε το κινητό σε Safe Mode.
Μεταβείτε στις Ρυθμίσεις → Εφαρμογές.
Εντοπίστε την εφαρμογή MorganArg.
Επιλέξτε Απεγκατάσταση.
Στην ασφαλή λειτουργία απενεργοποιούνται οι εφαρμογές τρίτων, επιτρέποντας έτσι την κανονική διαγραφή του malware.
