- Обнаружен первый Android-троян PromptSpy, использующий ИИ-модель Google Gemini для управления вредоносными действиями.
- Вредоносное ПО получает специальные права через Accessibility Service и активирует удалённый доступ к устройству.
- Стандартные способы удаления блокируются, единственный способ очистки — перезагрузка в безопасном режиме.
Специалисты компании ESET выявили новый тип угрозы для пользователей Android — троян PromptSpy, который использует искусственный интеллект в процессе атаки. Вредоносная программа обращается к облачной модели Google Gemini, отправляя ей XML-разметку экрана заражённого устройства для анализа. В ответ она получает инструкции в формате JSON, указывающие, какие действия следует выполнить, например, куда кликнуть.
Основная цель PromptSpy — получить права специальных возможностей через сервис Accessibility Service. Это позволяет активировать VNC-модуль и получить удалённый доступ к смартфону жертвы. Злоумышленники могут наблюдать за действиями пользователя на экране, записывать видео с демонстрацией графического ключа, а также перехватывать PIN-коды и пароли для разблокировки устройства. Таким образом, заражённый гаджет превращается в полноценный инструмент для скрытого видеонаблюдения.
Для защиты своей работы троян использует хитрую маскировку: при попытке жертвы зайти в настройки и отозвать разрешения или удалить приложение PromptSpy накладывает прозрачные слои на элементы управления, такие как кнопки «Остановить», «Удалить» и «Отключить». В результате нажатия пользователя не вызывают ожидаемого эффекта, что делает стандартные способы очистки практически бесполезными.
Единственным надёжным методом избавиться от вредоносного ПО специалисты ESET называют перезагрузку устройства в безопасном режиме. В этом состоянии функционирование сторонних приложений временно блокируется, что позволяет удалить троян вручную через настройки.
