Souhrn
Výzkumníci společnosti ESET, která se specializuje na detekci a analýzu kybernetických hrozeb, identifikovali nový Android malware nazvaný PromptSpy. Tento škodlivý implant je pokročilou verzí dřívějšího VNCSpy a využívá generativní AI Google Gemini k analýze obsahu obrazovky zařízení. Cílem je poskytnout operátorovi krok za krokem instrukce, jak udržet aplikaci připnutou v seznamu nedávných aplikací, čímž se brání jejímu snadnému odstranění.
Klíčové body
- PromptSpy je multistage malware založený na VNCSpy, který nasazuje modul pro virtuální síťové výpočty (VNC) umožňující vzdálené ovládání obrazovky.
- Využívá Google Gemini k automatické analýze obrazovky a generování instrukcí pro persistence, jako je připnutí appky v nedávných aplikacích.
- První samples VNCSpy byly nahrány na VirusTotal v lednu 2026 z Hong Kongu, nové verze v únoru z Argentiny.
- Kód obsahuje prvky zjednodušené čínštiny, což naznačuje vývoj v čínsky mluvícím prostředí.
- Distribuován přes doménu mgardownload[.]com, maskován jako aplikace banky JPMorgan Chase (Chase Bank).
Podrobnosti
ESET objevil VNCSpy v lednu 2026, kdy tři samples byly nahrány na VirusTotal z Hong Kongu. Tento malware nasazuje VNC modul, což je technologie pro sdílení obrazovky umožňující vzdálené ovládání počítače nebo mobilního zařízení prostřednictvím protokolu remote frame buffer (RFB). Útočníci tak mohou sledovat obrazovku oběti a provádět akce na dálku, například krádež dat nebo instalaci dalšího škodlivého softwaru.
V únoru následovaly čtyři nové samples z Argentiny, které ESET analyzoval a označil jako PromptSpy. Tato verze přidává vrstvu generativní AI: škodlivá aplikace pošle snímek obrazovky do Google Gemini, který analyzuje aktuální stav zařízení a vygeneruje přesné instrukce pro operátora. Například, pokud systém hrozí zabitím appky, Gemini navrhne, jak ji připnout v seznamu nedávných aplikacích, aby se nedala snadno posunout pryč nebo ukončit systémovými mechanismy. Tento přístup zvyšuje odolnost malware proti běžným uživatelským akcím i základním bezpečnostním nástrojům.
Distribuce probíhala přes web mgardownload[.]com, který během analýzy již nefungoval. Po instalaci dropperu (první fáze malware pro doručení užitečné zátěže) se otevřela stránka na m-mgarg[.]com, maskovaná jako legitimní aplikace Chase Bank, známé jako JPMorgan Chase Bank N.A. v Argentině. I když doména byla offline, archivovaná verze Google Cache potvrdila tuto kamufláž. ESET zatím neeviduje PromptSpy ve svých telemetrických datech, ale existence distribuční domény naznačuje možnou aktivní nasazení v divočině. S střední jistotou přisuzují vývoj čínsky mluvícímu týmu kvůli prvkům zjednodušené čínštiny v kódu.
Tento malware představuje evoluci v kybernetických hrozbách: místo pevně zakódovaných rutin používá AI k adaptivnímu chování, což ztěžuje detekci statickými antiviry. Pro uživatele Androidu to znamená riziko úplného ovládnutí zařízení bez zjevných známek, zejména pokud instalují appky z neověřených zdrojů.
Proč je to důležité
PromptSpy demonstruje nový trend zneužití generativních AI modelů jako Google Gemini v malwaru, což rozšiřuje spektrum hrozeb za hranice tradičního programování. Dříve by persistence vyžadovala manuální kód pro specifické verze Androidu; nyní AI generuje univerzální instrukce v reálném čase, což zvyšuje úspěšnost útoků napříč různými zařízeními a verzemi OS. V širším kontextu to signalizuje rizika otevřených AI API, která lze volat z libovolné appky, a nutnost lepšího monitoringu takových volání v bezpečnostních řešeních.
Pro průmysl to znamená posun k AI-detekčním systémům schopným rozpoznávat abnormální volání LLM v reálném čase. Android uživatelé by měli být opatrní u app z neznámých zdrojů, zejména bankovních, a používat pokročilé antimalware jako ESET Mobile Security. Tento objev podtrhuje, jak rychle se kyberzločinci adaptují na pokroky v AI, což vyžaduje koordinovanou odpověď od Google (omezení API zneužití) i výrobců zařízení.
Zdroj: 📰 Infosecurity Magazine
