Компания по кибербезопасности ESET выявила PromptSpy, вредоносный код для Android, который устанавливает прецедент. Это первый вирус, который использует API чат-бота искусственного интеллекта Google Gemini для работы на скомпрометированных устройствах. Основная цель этой кампании, похоже, находится в Аргентине, и анализ кода предполагает, что его разработчики могут находиться в Китае.
Механизм заражения и персистентности с помощью ИИ 🕵️
PromptSpy распространяется как фальшивое приложение Telegram. После установки оно запрашивает разрешения на доступность. Его ключевая функция — тихо открывать веб-браузер, подключаться к публичному веб-интерфейсу Google Gemini и использовать предопределенные промпты для генерации ответов. Эти ответы, которые являются инструкциями на языке Python, затем выполняются на устройстве с помощью встроенного интерпретатора, позволяя вредоносному ПО красть данные и сохранять контроль без необходимости обновления собственного кода.
Когда твой ИИ-ассистент работает на врага 😈
Ситуация имеет свою комичную сторону: теперь твой смартфон может быть взломан инструкциями, которые приходят прямо из чат-бота Google. Это как будто вредоносное ПО решило передать на аутсорсинг свою наиболее техническую работу. Вместо того чтобы тащить весь вредоносный код на себе, оно предпочитает попросить Gemini написать его по требованию. Явный случай того, что автоматизация дошла и до темной стороны, где даже вирусы хотят быть более эффективными и просить помощи для своей грязной работы.