Σε μια ανησυχητική εξέλιξη για την κυβερνοασφάλεια, η ESET Research αποκάλυψε την ύπαρξη του PromptSpy, του πρώτου Android malware που ενσωματώνει Generative AI στη ροή εκτέλεσής του. Οι επιτιθέμενοι δεν χρησιμοποιούν απλώς την AI για να γράψουν κώδικα, αλλά την έχουν ενσωματώσει μέσα στην ίδια την εφαρμογή. Συγκεκριμένα, το PromptSpy στέλνει prompts και δεδομένα της οθόνης (XML dumps) στο μοντέλο Gemini της Google, ζητώντας του οδηγίες για το πώς να παραμείνει ενεργό και να μην τερματιστεί από το σύστημα ή τον χρήστη.
Το PromptSpy από την καταγραφή οθόνης έως ακόμα και τον πλήρη τηλεχειρισμό
Ο κύριος στόχος του PromptSpy είναι η πλήρης ψηφιακή κατασκοπεία. Μόλις εγκατασταθεί —συνήθως μεταμφιεσμένο σε ενημέρωση εφαρμογής ή τραπεζικό εργαλείο όπως το «MorganArg»— ενεργοποιεί ένα VNC module. Αυτό επιτρέπει στους επιτιθέμενους να βλέπουν την οθόνη του θύματος σε πραγματικό χρόνο και να εκτελούν ενέργειες από απόσταση. Το κακόβουλο λογισμικό μπορεί να καταγράφει βίντεο από την οθόνη, να κλέβει κωδικούς από το lockscreen και να υποκλέπτει ευαίσθητες πληροφορίες από εφαρμογές κοινωνικής δικτύωσης και τραπεζών.
Η ESET επισημαίνει ότι η χρήση των Accessibility Services (Υπηρεσίες Προσβασιμότητας) παραμένει το κλειδί για την επίθεση. Το PromptSpy ξεγελά τον χρήστη ώστε να του δώσει αυτές τις άδειες και στη συνέχεια χρησιμοποιεί την AI για να «διαβάζει» κάθε στοιχείο της οθόνης —από κείμενο μέχρι τη θέση των κουμπιών— και να αποφασίζει την επόμενη κίνησή του. Αυτή η δυναμική αλληλεπίδραση το καθιστά πολύ πιο επικίνδυνο από οποιοδήποτε στατικό malware έχουμε δει μέχρι σήμερα.
Πώς να προστατευτείτε και πώς να το διαγράψετε
Η προστασία από το PromptSpy απαιτεί αυξημένη προσοχή στις πηγές από τις οποίες κατεβάζετε εφαρμογές. Η Google έχει ήδη λάβει μέτρα για τον περιορισμό της πρόσβασης του malware στο Gemini API, ενώ το Google Play Protect αναγνωρίζει πλέον τις γνωστές παραλλαγές του. Ωστόσο, η μεγαλύτερη απειλή παραμένει η εγκατάσταση αρχείων APK από τρίτες, μη αξιόπιστες πηγές που υπόσχονται «απαραίτητες ενημερώσεις».
Εάν υποψιάζεστε ότι η συσκευή σας έχει μολυνθεί από το PromptSpy, η κανονική απεγκατάσταση πιθανότατα δεν θα λειτουργήσει λόγω των αόρατων εμποδίων που τοποθετεί το malware. Η μόνη αποτελεσματική λύση είναι η επανεκκίνηση του κινητού σε Safe Mode (Ασφαλή Λειτουργία). Σε αυτή την κατάσταση, οι εφαρμογές τρίτων απενεργοποιούνται, επιτρέποντάς σας να εντοπίσετε και να διαγράψετε το PromptSpy χωρίς την παρεμβολή της «έξυπνης» προστασίας του.
