Các chuyên gia bảo mật đã tiết lộ những phát hiện mới về PromptSpy, một phần mềm độc hại dành cho Android có mã chứa lời nhắc được xác định trước và cấu hình AI được mã hóa cứng và không thể thay đổi trong quá trình chạy.
Phần mềm độc hại này sử dụng Gemini của Google để giải thích các yếu tố trên màn hình và cung cấp hướng dẫn từng bước để tương tác với giao diện người dùng.
Bằng cách gửi ảnh chụp màn hình thiết bị dưới dạng XML đến Gemini, PromptSpy nhận được các cử chỉ, thao tác chạm và vuốt chính xác cần thiết để giữ ứng dụng của nó được ghim trong danh sách ứng dụng gần đây.
Duy trì sự ổn định thông qua tương tác giao diện được hướng dẫn bởi trí tuệ nhân tạo.
Thông tin mới từ các nhà nghiên cứu tại ESET cho thấy đây là trường hợp đầu tiên được biết đến về phần mềm độc hại Android sử dụng trí tuệ nhân tạo tạo sinh trong quá trình thực thi của nó.
Chuỗi lây nhiễm của PromptSpy bắt đầu bằng một ứng dụng phát tán phần mềm giả mạo bản cập nhật hợp pháp bằng tiếng Tây Ban Nha và khuyến khích người dùng cài đặt ứng dụng đó.
Sau khi được cài đặt, phần mềm độc hại sẽ yêu cầu quyền truy cập Dịch vụ Trợ năng, cho phép nó thu thập thông tin chi tiết về giao diện người dùng và thực hiện các tương tác tự động.
Sử dụng dữ liệu này, PromptSpy liên tục giao tiếp với Gemini, gửi ảnh chụp màn hình định dạng XML và nhận hướng dẫn từng bước để tự khóa mình trong danh sách ứng dụng gần đây.
Các lớp phủ trong suốt trên nút gỡ cài đặt hoặc dừng ngăn cản việc gỡ cài đặt thông thường và yêu cầu người dùng phải vào Chế độ An toàn để gỡ cài đặt ứng dụng.
Phần mềm độc hại này cũng chứa một mô-đun VNC cho phép người điều hành giám sát thiết bị từ xa và tương tác với giao diện, do đó nó có thể chặn thông tin đăng nhập màn hình khóa, ghi lại cử chỉ người dùng, chụp ảnh màn hình và quay video hoạt động của thiết bị.
Việc liên lạc với máy chủ điều khiển được mã hóa bằng AES, cho phép phần mềm độc hại nhận được các khóa API của Gemini một cách an toàn.
Một phần mã sử dụng trí tuệ nhân tạo tạo sinh để diễn giải các tình huống giao diện người dùng và cung cấp hướng dẫn từng bước để duy trì trạng thái lưu.
Thông tin về bản địa hóa của phần mềm độc hại này cho thấy PromptSpy được phát triển trong môi trường nói tiếng Trung Quốc - tuy nhiên, việc phân phối của nó dường như nhắm mục tiêu vào người dùng nói tiếng Tây Ban Nha sống ở Nam Mỹ, cụ thể là Argentina.
Phần mềm độc hại này không có trên Google Play , nhưng Google Play Protect cung cấp khả năng bảo vệ chống lại các phiên bản đã biết.
PromptSpy yêu cầu quyền truy cập Dịch vụ Trợ năng, thu thập ngữ cảnh giao diện người dùng của thiết bị và thực hiện các hành động trong nền mà không cần người dùng can thiệp.
Nó tự khóa mình trong danh sách ứng dụng gần đây bằng cách sử dụng các chỉ dẫn AI từ Gemini và phủ các yếu tố trong suốt lên các nút gỡ cài đặt để ngăn chặn việc loại bỏ phần mềm độc hại .
Quá trình giao tiếp mạng của phần mềm độc hại có thể tương tác với tường lửa khi kết nối với máy chủ điều khiển và quản trị được mã hóa cứng của nó.
Ứng dụng cài đặt phần mềm độc hại sử dụng màn hình cập nhật giả mạo bằng tiếng Tây Ban Nha để nhắc nhở người dùng cài đặt phần mềm độc hại.
Sau khi khởi chạy, PromptSpy sẽ liên lạc với máy chủ điều khiển và quản lý được mã hóa cứng của nó để nhận các chỉ thị, bao gồm cả khóa API của Gemini.
Phần mềm độc hại này chụp ảnh màn hình thiết bị dưới dạng XML và gửi chúng đến Gemini, phần mềm này sẽ trả về các lệnh định dạng JSON mà phần mềm độc hại thực thi để đảm bảo khả năng hoạt động liên tục.
