Das Sicherheitsunternehmen ESET hat PromptSpy identifiziert, einen bösartigen Code für Android, der einen Präzedenzfall schafft. Es handelt sich um das erste Virus, das die API des KI-Chatbots Google Gemini nutzt, um auf kompromittierten Geräten zu operieren. Das Hauptziel dieser Kampagne scheint in Argentinien zu liegen, und die Analyse des Codes deutet darauf hin, dass seine Entwickler möglicherweise in China sind.
Infektionsmechanismus und Persistenz durch KI 🕵️
PromptSpy wird als falsche Telegram-App verteilt. Sobald es installiert ist, fordert es Barrierefreiheitsberechtigungen an. Seine Kernfunktion besteht darin, leise den Webbrowser zu öffnen, sich mit der öffentlichen Weboberfläche von Google Gemini zu verbinden und vordefinierte Prompts zu verwenden, um Antworten zu generieren. Diese Antworten, die Anweisungen in Python-Code sind, werden anschließend auf dem Gerät durch einen eingebetteten Interpreter ausgeführt, was dem Malware ermöglicht, Daten zu stehlen und die Kontrolle zu behalten, ohne seinen eigenen Code aktualisieren zu müssen.
Wenn dein KI-Assistent für den Feind arbeitet 😈
Die Situation hat ihren komischen Aspekt: Jetzt kann dein Smartphone durch Anweisungen gehackt werden, die direkt aus dem Google-Chatbot kommen. Es ist, als hätte die Malware beschlossen, ihre technischste Arbeit auszulagern. Statt den gesamten bösartigen Code mit sich herumzuschleppen, zieht es vor, Gemini zu bitten, ihn auf Abruf zu schreiben. Ein klares Beispiel dafür, dass die Automatisierung auch auf die dunkle Seite kommt, wo sogar Viren effizienter sein und um Hilfe bitten wollen, um ihre schmutzige Arbeit zu erledigen.