Новий вірус для вашого смартфона використовує ШІ від Google, щоб атакувати користувача

Михайло Года

Основні тези

Фахівці з кібербезпеки ESET виявили нову загрозу для Android-пристроїв - вірус PromptSpy, який використовує ШІ Google Gemini для адаптації до різних версій операційних систем.
PromptSpy поширюється через фішингові сайти, маскуючись під бренд JPMorgan Chase Argentina, і надає зловмисникам повний віддалений контроль над пристроєм.

Як працює перший вірус для Android із підтримкою Gemini / welivesecurity

Фахівці з кібербезпеки ESET виявили новий тип загрози для Android-пристроїв – шкідливу програму PromptSpy. Це перший випадок, коли вірус використовує можливості чат-бота Google Gemini для закріплення в системі.

Завдяки штучному інтелекту програма адаптується до різних версій операційних систем та інтерфейсів, що робить її особливо небезпечною для власників сучасних смартфонів, пояснили експерти з кібербезпеки ESET.

Дивіться також Гігієна смартфона: як безпечно очистити екрана і порти Android

Як саме штучний інтелект допомагає вірусу атакувати смартфони?

Шкідлива програма отримала назву PromptSpy через те, що вона звертається до Google Gemini через API за допомогою заздалегідь підготовлених запитів. Основна функція ШІ в цій схемі – інтерпретація інтерфейсу користувача зараженого ґаджета.

Gemini аналізує зображення екрана та надає вірусу покрокові інструкції, як утримуватися у списку останніх запущених застосунків. Це заважає системі легко завершити роботу шкідника або видалити його штатними засобами.

Такий підхід дозволяє розробникам вірусу автоматично підлаштовуватися під будь-який макет екрана чи версію Android, значно розширюючи коло потенційних жертв.

Як поширюється вірус?

Розповсюдження PromptSpy відбувалося через фішингові сайти, які маскувалися під бренд JPMorgan Chase Argentina.

Під час атаки користувачеві пропонують встановити застосунко MorganArg, який насправді є завантажувачем вірусу.
Після отримання дозволів програма зв'язується із сервером зловмисників для встановлення додаткових модулів, зокрема Virtual Networking Computing (VNC), та запитує доступ до служби спеціальних можливостей.

Завдяки цьому оператори вірусу отримують повний віддалений контроль над пристроєм: вони можуть бачити все на екрані, імітувати натискання, свайпи та вводити текст, ніби тримають смартфон у руках.

Також PromptSpy здатний перехоплювати PIN-коди розблокування та записувати дії користувача.

Як видалити вірус?

Видалити його вкрай важко, оскільки програма створює невидимі "прозорі прямокутники" над кнопками видалення чи зупинки, блокуючи команди користувача. Єдиний спосіб очистити пристрій – скористатися безпечним режимом, де сторонні програми вимкнені.

У коді вірусу знайшли фрагменти китайською мовою, хоча самі атаки були спрямовані на користувачів в Аргентині. Наразі PromptSpy не виявлено в магазині Google Play, а стандартні засоби Play Protect успішно захищають від цієї загрози, повідомляє ComputerWeekly. Фахівці припускають, що зараз вірус може бути на стадії демонстраційного прототипу.

Як захисти свій смартфон від вірусів?

Оновлюйте систему вчасно. Своєчасні оновлення операційної системи закривають відомі вразливості; не ігноруйте планові та екстрені апдейти.

Блокуйте стеження. Вимкніть відстеження геолокації у налаштуваннях і активуйте її лише тоді, коли користуєтеся функцією.

Не встановлюйте застосунки зі сторонніх джерел. Сторонні APK або неперевірені програми можуть містити шкідливий код (крадіжка паролів, доступ до мікрофона/камери, майнінг тощо).

Як захистити свій ґаджет від вірусів та інших загроз у мережі – читайте в нашому матеріалі з порадами.