🤖 Android-малварь использует Gemini для атак

Специалисты ESET обнаружили первый Android-вредонос PromptSpy, который задействует генеративный ИИ непосредственно в процессе выполнения атаки.

Злоумышленники используют модель Google Gemini для закрепления приложения в системе. Вредонос отправляет ИИ XML-дамп экрана со всеми элементами интерфейса, а Gemini возвращает JSON-инструкции: что нажать и где. PromptSpy выполняет действия через Accessibility Service, получает обновлённое состояние экрана и повторяет цикл, пока ИИ не подтвердит успешное закрепление. API-ключ загружается с командного сервера, в коде его нет.

Малварь даёт полный удалённый доступ через VNC-модуль и блокирует удаление невидимыми оверлеями. Единственный способ очистки — безопасный режим.

#android_malware #promptspy #gemini_ai #cybersecurity #eset #mobile_threats