До сих пор ИИ помогал хакерам на этапе подготовки: писал убедительные фишинговые письма, генерировал вредоносный код, создавал поддельные сайты. Теперь всё иначе. В феврале 2026 года исследователи ESET обнаружили PromptSpy — первую Android-малварь, где генеративный ИИ, встроенный непосредственно в рабочий процесс программы, принимает решения в реальном времени.
Разница принципиальная. Это всё равно что сравнивать вора, который заранее нарисовал план здания, с вором, который идёт по коридорам и на ходу решает, в какую дверь зайти.
Что именно произошло
13 января 2026 года на VirusTotal появились три файла, загруженных с гонконгских IP-адресов, под названием VNCSpy. 10 февраля из Аргентины пришли четыре более продвинутых образца с интеграцией Gemini. Их назвали PromptSpy.
Программа маскировалась под банковский сервис JPMorgan Chase: приложение называлось MorganArg (вероятно, «Morgan Argentina»), иконка была скопирована у Chase Bank. Распространялось оно через отдельный сайт mgardownload.com — на данный момент он уже отключён.
Важная оговорка: активных заражений в телеметрии ESET зафиксировано не было. Возможно, это всё ещё доказательство концепции. Но наличие выделенной инфраструктуры для распространения и поддельного банковского сайта не позволяет исключить реальное применение.
Как это работает
Традиционные Android-трояны прописывают координаты нажатий жёстко в код. Проблема очевидна: интерфейс у Samsung, Xiaomi и Pixel выглядит по-разному. То, что работает на одной модели, ломается на другой. PromptSpy решил эту задачу радикально иначе.
После установки программа запрашивает Accessibility Services — функции доступности Android, предназначенные для помощи людям с ограниченными возможностями, но давно ставшие любимым инструментом малвари. Затем показывает простой экран «Loading, please wait», пока в фоне развёртывается следующий сценарий:
- Открывается экран последних приложений.
- Снимается XML-дамп интерфейса: все видимые элементы, текст, тип, точные координаты.
- Этот XML отправляется в Google Gemini с запросом: «Как закрепить приложение в списке последних?».
- Gemini возвращает JSON-инструкции: куда нажать, что свайпнуть.
- Программа выполняет действие, снова снимает экран и отправляет его в Gemini.
- Цикл продолжается, пока Gemini не подтвердит успех.
Закреплённое приложение отображается со значком замка и не убивается системой при перезагрузке. Этот механизм одинаково работает на любом Android-устройстве, потому что Gemini «понимает» интерфейс в контексте, а не ищет фиксированную кнопку по координатам.
Арсенал PromptSpy (помимо AI-персистентности):
VNC-модуль с полным удалённым доступом · перехват PIN и пароля · запись экрана и жестов · сбор установленных приложений · невидимые блокираторы кнопки «Удалить» · AES-шифрование связи с C&C
Почему это стало реально
За появлением PromptSpy стоят четыре параллельных процесса.
- Открытость AI-API
Gemini доступен любому разработчику. API-ключ PromptSpy получает уже с C&C-сервера — порог входа оказался ничтожно низким. - Фрагментация Android
Тысячи моделей, десятки версий ОС, сотни оболочек — жёсткие скрипты на этом ломаются. AI интерпретирует интерфейс в контексте, а не по координатам. - Накопленный опыт атакующих
PromptLock (AI-вымогатель, август 2025), Android.Phantom (TensorFlow для рекламного мошенничества), FruitShell, QuietVault — каждый эксперимент расширял применение AI. - Финансовая мотивация
Отладочный код на китайском, цель — Аргентина, маска банка. Типичная схема для троянов, атакующих развивающиеся рынки с растущим цифровым банкингом.
Что меняется для рынка безопасности
Даже если PromptSpy останется концептом и не превратится в массовую кампанию, его появление меняет ландшафт угроз.
- Сигнатурный анализ теряет смысл
Программа выбирает другую последовательность действий каждый раз — нет паттерна для детектирования. Нужен мониторинг запросов к AI-API в реальном времени. - Трафик к Gemini неотличим от легального
Обычный HTTPS к серверам Google. Корпоративные файрволы здесь бесполезны. - AI-провайдеры под давлением
Как детектировать злоупотребление API? Google уже обновила Play Protect — но это защита от конкретной реализации, не от принципа.
Вывод: не паника, но пересмотр
PromptSpy сырой и ограниченный: AI — только в одной функции, ключ жёстко в коде, распространение через внешний сайт. Но именно так выглядят все технологические сдвиги на старте. Прецедент создан — следующие итерации будут умнее.
Для обычного пользователя защита проста: никаких APK из сторонних источников. Всё, что предлагает «скачать вручную» в обход Google Play — красный флаг.
Для бизнеса сложнее. Запрос к Gemini API выглядит как обычный HTTPS-трафик к серверам Google — стандартный файрвол это не поймает. Здесь нужен комплексный подход: MDM-политики с запретом установки приложений вне корпоративного магазина, мониторинг сетевой активности устройств и защита веб-периметра. Для последнего у Cloud4Y есть готовый WAF-сервис — он фильтрует вредоносный трафик и закрывает типовые уязвимости, не требуя собственной инфраструктуры. А если малварь всё же добралась до корпоративных данных — облачное резервное копирование Cloud4Y позволит восстановить доступ без простоев.
PromptSpy не изменит мобильную безопасность завтра. Но он чётко показывает, куда движется угроза.