ESET odhalila první virus pro Android využívající Google Gemini – PromptSpy

Co je PromptSpy?

Vývojáři společnosti ESET odhalili nový škodlivý kód pro Android nazvaný PromptSpy. Jedná se o první virem, který přímo komunikuje s chat‑botem Google Gemini prostřednictvím jeho API a využívá možnosti generativní AI k „zafixování“ na infikovaném zařízení.

Jak PromptSpy funguje
1. Připojení k Gemini

Škodlivý kód posílá předem připravené požadavky do Gemini, získává od něj krok‑po‑kroku instrukce. Pomocí těchto instrukcí analyzuje obrazovku zařízení (např. rozpoznává obrázky) a určuje, jak se udržet v seznamu posledních aplikací.

2. Instalace modulu vzdáleného přístupu

Po tom, co uživatel souhlasí s instalací aplikace MorganArg (ve skutečnosti jde o škodlivý kód), PromptSpy naváže spojení s serverem pod kontrolou útočníků a stáhne zbývající část kódu. V ní je implementován modul virtuální sítě (VNC) a požadavky na přístup ke službám speciálních možností, což umožňuje vzdálenou kontrolu nad Android‑zařízením.

3. Obcházení běžných způsobů odinstalace

Škodlivý kód překrývá „průhledné obdélníky“ na obrazovce, blokuje dotyky v kritických oblastech a ztěžuje nucené ukončení aplikace. Odstranit jej lze pouze prostřednictvím nouzového režimu, kde jsou vypnuté třetí strany.

4. Další funkce

- Možnost zachytit PIN‑kódy uzamčení obrazovky.
- Záznam akcí na obrazovce (svepy, zadávání textu).
- Imitace fyzické interakce se zařízením – jako by operátor držel telefon v rukou.

Původ a cíl útoku
- Regionální zaměření: Phishingová stránka, přes kterou byl PromptSpy šířen, používala branding *JPMorgan Chase Argentina*, což naznačuje cílové publikum – uživatele z Argentiny.
- Vznik v síti: Virus byl objeven po tom, co byly vzorky nahrány z Argentiny na platformu Google VirusTotal.
- Čínské stopy: V kódu jsou přítomny fragmenty čínského jazyka, což potvrzuje předpoklad o vývoji škodlivého softwaru v Číně.

Jak se chránit
- Google Play Protect: Podle ESET již služba ochrany od Googlu blokuje PromptSpy a aplikace zatím není k dispozici v obchodě Play Market.
- Aktualizace OS a aplikací: Instalujte nejnovější bezpečnostní aktualizace Androidu a používejte pouze ověřené zdroje pro stahování programů.
- Opatrnost s oprávněními: Neakceptujte žádosti o instalaci neověřených aplikací, zejména pokud požadují přístup ke službám speciálních možností.

Závěr
PromptSpy ukazuje nový úroveň interakce škodlivého softwaru s generativními AI‑službami. Díky Gemini může virus adaptovat na jakékoliv zařízení a OS, což zvyšuje riziko infekce. Přestože jeho odstranění je obtížné, nouzový režim umožňuje se jím zbavit, a vestavěné mechanismy Google Play Protect již poskytují ochranu uživatelů.