PromptSpy — это обнаруженная исследователями ESET (в частности, специалистом Лукашем Штефанко) вредоносная программа для Android, которая маскируется под банковское приложение MorganArg (имитирующее банк Morgan Chase). На первый взгляд приложение кажется обычным, но на самом деле оно разворачивает встроенный VNC-модуль, предоставляя злоумышленникам полный удаленный доступ к смартфону. Главная инновация вируса заключается в использовании генеративного ИИ (Google Gemini) для манипулирования интерфейсом и обеспечения собственной защиты от удаления. Это уже второй ИИ-вредонос, обнаруженный ESET, после вымогателя PromptLock, найденного в августе 2025 года. Кампания носит ярко выраженный финансовый характер и нацелена на испаноязычных пользователей, прежде всего в Аргентине, хотя аналитики предполагают, что изначальная разработка кода велась в Китае.
Основные возможности
- Интеграция с Google Gemini: Вредонос отправляет запросы к ИИ и получает динамические пошаговые инструкции по навигации в системе. Gemini подсказывает вирусу, как закрепить приложение в списке недавних задач (нажав на иконку «замка»), что предотвращает его случайное или системное закрытие.
- Удаленный контроль: Встроенный VNC-модуль позволяет атакующим в реальном времени видеть экран жертвы и удаленно управлять зараженным устройством.
- Глубокий шпионаж и кража данных: Приложение перехватывает PIN-коды и пароли с экрана блокировки, делает скриншоты, тайно записывает активность на экране в формате видео и собирает подробную техническую информацию об устройстве.
- Активная самозащита: PromptSpy злоупотребляет системными службами специальных возможностей (Accessibility Services), оперативно перекрывая системные кнопки удаления невидимыми слоями.
Преимущества (для злоумышленников)
- Универсальная адаптивность: Использование генеративного ИИ в навигации позволяет вирусу подстраиваться под любую версию Android, нестандартную оболочку или уникальный интерфейс устройства. Это избавляет хакеров от необходимости писать индивидуальные скрипты и колоссально расширяет пул потенциальных жертв.
- Высокая живучесть: Благодаря уникальной комбинации советов от ИИ и невидимых оверлеев, классическое удаление вируса становится физически невозможным для большинства рядовых пользователей.
- Скрытность коммуникаций: Вирус распространяется исключительно через специализированные фишинговые веб-сайты, полностью избегая модерации магазинов приложений. При этом весь обмен данными с командным сервером (C&C) надежно защищен алгоритмом AES-шифрования.
Защита и инструкция по удалению
PromptSpy никогда не размещался в Google Play. Как партнер App Defense Alliance, компания ESET оперативно передала данные Google, и известные версии вредоноса теперь автоматически блокируются встроенной системой Google Play Protect (при наличии сервисов Google).
Поскольку вирус программно блокирует экран при любых попытках его стереть, избавиться от него вручную можно только через Безопасный режим (Safe Mode), где блокируются сторонние приложения:
1. Зажмите кнопку питания устройства.
2. Долго удерживайте кнопку «Выключить» на экране до появления предложения о переходе в безопасный режим.
3. После перезагрузки перейдите в «Настройки» -> «Приложения» -> найдите MorganArg и удалите программу без какого-либо вмешательства со стороны вируса.
⬇️Поддержать автора⬇️
✅SBER: 2202 2050 1464 4675