- O malware PromptSpy usa Gemini para automatizar sua persistência
- Ele bloqueia a remoção de malware por meio de um controle de interface orientado por IA
- Gemini interpreta os dados na tela e traduz ações de gestos
Especialistas em segurança revelaram novas descobertas sobre o PromptSpy, um malware Android cujo código possui prompts predefinidos e configurações de IA que são codificadas e não podem ser alteradas em tempo de execução.
O malware usa o Gemini do Google para interpretar elementos da tela e fornecer instruções passo a passo para interagir com a interface do usuário.
Ao enviar instantâneos XML da tela do dispositivo para o Gemini, o PromptSpy captura os gestos, toques e deslizamentos exatos necessários para manter seu aplicativo fixado na lista de aplicativos recentes.
Duração por meio de interação de interface orientada por IA
Novas informações dos pesquisadores da ESET explicam como esta é a primeira instância conhecida de malware Android que usa IA artificial em seu fluxo de execução.
A cadeia de infecção do PromptSpy começa com um aplicativo de gotejamento que imita uma atualização legítima em espanhol e incentiva os usuários a instalar o aplicativo.
Depois de instalada, a carga solicita permissões do Serviço de Acessibilidade, que permitem ao malware capturar informações específicas da interface do usuário e realizar interações automáticas.
Usando esses dados, o PromptSpy se comunica constantemente com o Gemini, enviando instantâneos XML da tela e recebendo instruções passo a passo para bloqueá-lo da lista de aplicativos recentes.
Sobreposições transparentes nos botões de desinstalação ou parada impedem a exclusão normal e exigem que os usuários entrem no modo de segurança para desinstalar o aplicativo.
O malware também possui um módulo VNC que permite aos operadores controlar remotamente os dispositivos e interagir com a interface, para que possa capturar credenciais da tela de bloqueio, gravar gestos do usuário, fazer capturas de tela e capturar vídeos da atividade do dispositivo.
A comunicação com o servidor de comando e controle é criptografada usando AES, o que permite que o malware receba com segurança as chaves da API Gemini.
Parte do código usa uma IA criativa para interpretar cenários de UI e fornecer instruções passo a passo para manter a persistência.
Os detalhes de localização deste malware indicam que o PromptSpy foi desenvolvido num ambiente de língua chinesa; no entanto, sua distribuição parece ser destinada a usuários de língua espanhola que vivem na América do Sul, especificamente na Argentina.
O malware não está disponível no Google Play, mas o Google Play Protect oferece proteção contra versões conhecidas.
O PromptSpy solicita permissões do Serviço de Acessibilidade, captura o contexto da IU do dispositivo e executa ações em segundo plano, sem intervenção do usuário.
Ele bloqueia a lista de aplicativos recentes usando as instruções de IA do Gemini e sobrepõe elementos transparentes nos botões de desinstalação para bloquear a remoção de malware.
A comunicação de rede do malware pode interagir com firewalls ao se conectar ao seu servidor de comando e controle rígido.
O aplicativo dropper usa uma tela de atualização falsa em espanhol para solicitar a instalação da carga útil.
Uma vez iniciado, o PromptSpy se comunica com seu servidor de comando e controle rígido para receber instruções, incluindo chaves de API Gemini.
O malware tira instantâneos XML da tela do dispositivo e os envia ao Gemini, que retorna instruções no formato JSON para garantir a persistência do malware.
Siga o TechRadar no Google Notícias e adicione-nos como sua fonte padrão para receber notícias, opiniões e opiniões de nossos especialistas em feeds. Certifique-se de clicar no botão Continuar!
E é claro que você também pode Siga o TechRadar no TikTok para receber novidades, análises, unboxings em formato de vídeo e receber atualizações constantes nossas WhatsApp também
