Исследователи ESET сообщили о появлении первого известного Android-вредоноса, который напрямую использует генеративный ИИ в процессе выполнения. Новый образец, получивший название PromptSpy, интегрирует облачную модель Google Gemini, чтобы адаптироваться к интерфейсу устройства и надежно закрепляться в системе, усложняя обнаружение и удаление вредоносного ПО.
Эволюция от VNCSpy к PromptSpy и целевая аудитория атак
По данным аналитиков, PromptSpy является развитой версией ранее неизвестного вредоноса VNCSpy. Первые образцы VNCSpy были загружены на VirusTotal 13 января 2026 года из Гонконга. Уже 10 февраля на ту же платформу попали четыре более сложных образца PromptSpy, загруженных из Аргентины, что указывает на быструю эволюцию семейства и нарастающую активность разработчиков.
Кампания, судя по данным локализации и сценариям распространения, ориентирована прежде всего на пользователей из Аргентины: интерфейс поддельного обновления выполнен на испанском языке, а векторами заражения выступают сайты, нацеленные на испаноязычную аудиторию. В то же время в отладочных строках кода обнаружен упрощенный китайский язык, что может отражать среду разработки или происхождение авторов. Эксперты предполагают, что мотивация злоумышленников в первую очередь финансовая.
Как PromptSpy использует Gemini для закрепления в системе
Ключевая особенность PromptSpy — применение генеративного ИИ Gemini для автоматизации взаимодействия с интерфейсом Android. Многие оболочки Android позволяют «закреплять» приложение в списке последних задач. Закрепленные приложения менее подвержены принудительному завершению системой при очистке памяти или нажатии пользователем кнопки «Очистить все», что делает этот механизм удобным для легитимных фоновых сервисов — и крайне привлекательным для малвари, стремящейся к постоянному присутствию в системе.
Автоматизация навигации по интерфейсу Android через ИИ
Проблема для атакующих заключается в том, что функция pinning реализована по-разному у разных производителей и версий Android. Жестко прописать координаты и элементы интерфейса для всех моделей устройств практически невозможно. PromptSpy решает эту задачу с помощью ИИ: вредонос формирует XML-дамп текущего экрана с перечнем элементов интерфейса, их текстовыми метками, типами классов и координатами и отправляет его в Gemini вместе с промптом.
Модель обрабатывает этот контекст и возвращает JSON с подробными инструкциями — что именно нужно нажать и в какой области экрана. PromptSpy, используя службу доступности (Accessibility Service), эмулирует необходимые действия, затем получает обновленное состояние экрана, снова отправляет его в Gemini и повторяет цикл до тех пор, пока ИИ не «подтвердит», что приложение успешно закреплено в списке недавних задач. API-ключ для доступа к Gemini малварь получает с командного сервера (54.67.2[.]84), поэтому он не хранится внутри APK и не поддается простому анализу.
Шпионский функционал: полный удаленный доступ через встроенный VNC-модуль
Основная задача PromptSpy — шпионаж и удаленный контроль зараженного Android-устройства. Вредонос использует встроенный VNC-модуль, предоставляющий операторам фактически полный удаленный доступ: при наличии прав Accessibility злоумышленники могут в режиме реального времени наблюдать экран жертвы и управлять им, словно держат устройство в руках.
Среди возможностей указан перехват PIN-кодов и паролей экрана блокировки, запись графических ключей с экрана, создание скриншотов по команде, а также передача на сервер списка установленных приложений и текущего состояния интерфейса. Такой набор функций делает PromptSpy эффективным инструментом для кражи учетных данных банковских приложений, криптокошельков, корпоративных сервисов и любых других чувствительных данных.
Механизмы самозащиты и сложность удаления PromptSpy
Отдельную угрозу представляет механизм противодействия удалению. По наблюдениям исследователей, удалить PromptSpy стандартными средствами практически невозможно. При попытке деинсталлировать приложение или отозвать выданные разрешения вредонос накладывает прозрачные невидимые оверлеи на системные кнопки «Удалить», «Остановить» и другие критичные элементы. В результате пользователь нажимает не на реальную системную кнопку, а на слой-обманку, и никакого действия не происходит.
Единственным надежным способом избавиться от PromptSpy в текущей реализации является загрузка устройства в безопасном режиме Android, где все сторонние приложения временно отключены. Уже в этом режиме пользователь может удалить вредонос обычными средствами. Такая тактика маскировки и блокировки удаления демонстрирует, насколько мобильная малварь перенимает подходы десктопных троянов и руткитов.
Цепочка заражения: фишинговый сайт и поддельное обновление
По информации ESET, распространение PromptSpy осуществлялось через сайт mgardownload[.]com. После установки первоначального дроппера он открывал страницу на m-mgarg[.]com, стилизованную под ресурс банка JPMorgan Chase. Пользователю предлагалось включить установку приложений из неизвестных источников под предлогом обновления или необходимого компонента безопасности, после чего в фоне загружался конфигурационный файл со ссылкой на PromptSpy.
Сам вредонос маскировался под легитимное обновление, что снижало настороженность пользователя. На момент публикации неясно, проводились ли уже масштабные реальные атаки или анализируемые образцы являются, по сути, proof-of-concept. Тем не менее наличие отдельного домена, фишинговой инфраструктуры и сложной логики взаимодействия с Gemini указывает, что PromptSpy потенциально уже применялся или готовился к использованию в реальных мошеннических кампаниях.
Появление PromptSpy демонстрирует новый этап в развитии мобильного вредоносного ПО: генеративный ИИ превращается из инструмента создания фишинговых текстов в активный элемент логики атаки. Использование моделей вроде Gemini для навигации по интерфейсу позволяет злоумышленникам обходить фрагментацию Android, адаптироваться к любым оболочкам и автоматизировать действия, которые раньше требовали ручной настройки под каждое устройство. Организациям и частным пользователям стоит пересмотреть политики установки приложений, ограничить выдачу прав Accessibility, использовать проверенные источники ПО и уметь переводить устройство в безопасный режим. Усиление контроля над мобильными устройствами, внедрение решений MDM и современных средств мобильного EDR становится критически важным шагом, чтобы успевать за эволюцией атак с применением ИИ.
