La società di sicurezza ESET ha identificato PromptSpy, un codice malizioso per Android che segna un precedente. Si tratta del primo virus che utilizza l'API del chatbot di intelligenza artificiale Google Gemini per operare su dispositivi compromessi. L'obiettivo principale di questa campagna sembra essere l'Argentina, e l'analisi del codice suggerisce che i suoi sviluppatori potrebbero essere in Cina.
Meccanismo di infezione e persistenza mediante IA 🕵️
PromptSpy si distribuisce come un'applicazione falsa di Telegram. Una volta installato, richiede permessi di accessibilità. La sua funzione chiave è aprire silenziosamente il browser web, connettersi all'interfaccia web pubblica di Google Gemini e usare prompt predefiniti per generare risposte. Queste risposte, che sono istruzioni in codice Python, vengono poi eseguite sul dispositivo mediante un interprete incorporato, permettendo al malware di rubare dati e mantenere il controllo senza necessità di aggiornare il proprio codice.
Quando il tuo assistente IA lavora per il nemico 😈
La situazione ha il suo punto comico: ora il tuo smartphone può essere hackerato da istruzioni che escono direttamente dal chatbot di Google. È come se il malware avesse deciso di esternalizzare il suo lavoro più tecnico. Invece di portare toutto il codice malizioso sulle spalle, preferisce chiedere a Gemini di scriverglielo su richiesta. Un chiaro caso di automazione che arriva anche al lato oscuro, dove anche i virus vogliono essere più efficienti e chiedere aiuto per fare il loro lavoro sporco.