Η ESET εντόπισε το πρώτο ιό για Android που χρησιμοποιεί το Google Gemini – PromptSpy

Τι είναι το PromptSpy;

Οι προγραμματιστές της εταιρείας ESET εντοπίστηκαν ένα νέο κακόβουλο λογισμικό για Android, ονομασμένο PromptSpy. Είναι ο πρώτος ιός που απευθύνεται άμεσα στον chatbot Google Gemini μέσω του API του και χρησιμοποιεί τις δυνατότητες γενετικού AI για να «καταστείλει» στο ενθραυσμένο σύστημα.

Πώς λειτουργεί το PromptSpy
1. Σύνδεση με το Gemini

Το κακόβουλο στέλνει προκαθορισμένες ερωτήσεις στο Gemini, λαμβάνοντας από αυτό βήμα-βήμα οδηγίες. Με τη βοήθεια αυτών των οδηγιών αναλύει την οθόνη της συσκευής (π.χ., αναγνωρίζει εικόνες) και καθορίζει πώς να μείνει στη λίστα πρόσφατων εφαρμογών.

2. Εγκατάσταση του απομακρυσμένου πρόσβασης

Αφού ο χρήστης συμφωνήσει να εγκαταστήσει την εφαρμογή MorganArg (που στην πραγματικότητα είναι κακόβουλη), το PromptSpy επικοινωνεί με τον ελεγχόμενο από τους επιτιθέμενους server και φορτώνει το υπόλοιπο κομμάτι κώδικα. Εκεί υλοποιείται ένα module εικονικού δικτύου (VNC) και αιτήματα πρόσβασης σε υπηρεσίες ειδικών δυνατοτήτων, δίνοντας απομακρυσμένο έλεγχο της συσκευής Android.

3. Παρακάμπτωση των τυπικών μεθόδων αφαίρεσης

Το κακόβουλο τοποθετεί «διαφανείς ορθογώνιες» πάνω στην οθόνη, αποκλείοντας αφάξια σε κρίσιμες ζώνες και δυσχεραίνοντας την εξαναγκαστική τερματισμό της εφαρμογής. Μπορεί να διαγραφεί μόνο μέσω ασφαλούς λειτουργίας, όπου οι τρίτες εφαρμογές είναι απενεργοποιημένες.

4. Πρόσθετες λειτουργίες

- Δυνατότητα παραιτήματος κωδικών PIN για κλειδώματα οθόνης.
- Καταγραφή ενεργειών στην οθόνη (swipes, εισαγωγή κειμένου).
- Προσομοίωση φυσικής αλληλεπίδρασης με τη συσκευή – σαν να κρατάει ένας χειριστής το τηλέφωνο στα χέρια.

Προέλευση και στόχος επίθεσης
- Τοπική κατεύθυνση: Η phishing ιστοσελίδα μέσω της οποίας διαδόθηκε το PromptSpy χρησιμοποίησε branding *JPMorgan Chase Argentina*, επισημαίνοντας το κοινό‑στόχο – χρήστες από την Αργεντινή.
- Εμφάνιση στο δίκτυο: Ο ιός εντοπίστηκε μετά τη μεταφόρτωση δείγματος από την Αργεντινή στην πλατφόρμα Google VirusTotal.
- Κινέζικοί ίχνη: Στον κώδικα υπάρχουν αποσπάσματα στα κινέζικα, επιβεβαιώνοντας την υπόθεση ότι η ανάπτυξη του κακόβουλου λογισμικού έγινε στη Χινεία.

Πώς να προστατευτείτε
- Google Play Protect: Σύμφωνα με το ESET, ο μηχανισμός ασφαλείας της Google ήδη μπλοκάρει το PromptSpy και η εφαρμογή δεν έχει βρεθεί ακόμα στο Play Market.
- Ενημερώσεις OS και εφαρμογών: Εγκαθιστάτε τις τελευταίες ενημερώσεις ασφαλείας του Android και χρησιμοποιείτε μόνο αξιόπιστες πηγές για λήψη λογισμικού.
- Προσοχή στις άδειες: Μην αποδεχτείτε αιτήματα εγκατάστασης ανεπιβεβαίωτων εφαρμογών, ειδικά αν ζητούν πρόσβαση σε υπηρεσίες ειδικών δυνατοτήτων.

Συμπεράσματα
Το PromptSpy δείχνει ένα νέο επίπεδο αλληλεπίδρασης κακόβουλου λογισμικού με γενετικές AI‑υπηρεσίες. Χάρη στο Gemini, ο ιός μπορεί να προσαρμοστεί σε οποιαδήποτε συσκευή και OS, αυξάνοντας τον κίνδυνο μόλυνσης. Παρά το γεγονός ότι η αφαίρεσή του είναι δύσκολη, η ασφαλής λειτουργία επιτρέπει την εξάλειψή του, ενώ οι ενσωματωμένοι μηχανισμοί Google Play Protect ήδη παρέχουν προστασία στους χρήστες.