- Malware PromptSpy menggunakan Gemini untuk mengotomatiskan persistensinya
- Malware memblokir penghapusan melalui kontrol antarmuka yang dipandu AI
- Gemini menafsirkan data layar dan mengembalikan gerakan yang dapat ditindaklanjuti
Pakar keamanan telah mengungkapkan temuan baru pada PromptSpy, sebuah malware Android yang kodenya berisi prompt yang telah ditentukan sebelumnya dan konfigurasi AI yang dikodekan secara keras dan tidak dapat diubah saat runtime.
Malware menggunakan GoogleGemini untuk menafsirkan elemen di layar dan memberikan petunjuk langkah demi langkah untuk berinteraksi dengan antarmuka pengguna.
Dengan mengirimkan snapshot XML layar perangkat ke Gemini, PromptSpy menerima gerakan, ketukan, dan gesekan yang tepat yang diperlukan agar aplikasinya tetap disematkan di daftar aplikasi terbaru.
Kegigihan melalui interaksi antarmuka yang dipandu AI
Baru informasi dari para peneliti di ESET menguraikan bagaimana ini adalah contoh malware Android pertama yang diketahui menggunakan AI generatif dalam alur eksekusinya.
Rantai infeksi PromptSpy dimulai dengan aplikasi dropper yang meniru pembaruan sah dalam bahasa Spanyol dan mendorong pengguna untuk menginstal aplikasi tersebut.
Setelah diinstal, payload meminta izin Layanan Aksesibilitas, yang memungkinkan malware menangkap informasi UI terperinci dan melakukan interaksi otomatis.
Dengan menggunakan data ini, PromptSpy terus berkomunikasi dengan Gemini, mengirimkan snapshot layar XML dan menerima petunjuk langkah demi langkah untuk mengunci dirinya di daftar aplikasi terbaru.
Hamparan transparan pada tombol uninstall atau stop mencegah penghapusan normal dan mengharuskan pengguna masuk ke Safe Mode untuk meng-uninstall aplikasi.
Malware ini juga berisi modul VNC yang memungkinkan operator memantau perangkat dari jarak jauh dan berinteraksi dengan antarmuka, sehingga dapat mencegat kredensial layar kunci, merekam gerakan pengguna, mengambil tangkapan layar, dan merekam video aktivitas perangkat.
Komunikasi dengan server perintah dan kontrol dienkripsi menggunakan AES, yang memungkinkan malware menerima kunci API Gemini dengan aman.
Sebagian kode menggunakan AI generatif untuk menafsirkan skenario UI dan memberikan petunjuk langkah demi langkah untuk mempertahankan persistensi.
Detail lokalisasi malware ini menunjukkan bahwa PromptSpy dikembangkan di lingkungan berbahasa Mandarin – namun distribusinya tampaknya menargetkan pengguna berbahasa Spanyol yang tinggal di Amerika Selatan, khususnya Argentina.
Malware tidak tersedia di Google Bermainnamun Google Play Protect memberikan perlindungan terhadap versi yang dikenal.
PromptSpy meminta izin Layanan Aksesibilitas, menangkap konteks UI perangkat, dan melakukan tindakan di latar belakang tanpa masukan pengguna.
Itu mengunci dirinya dalam daftar aplikasi terbaru menggunakan instruksi AI dari Gemini dan melapisi elemen transparan pada tombol uninstall untuk memblokirnya penghapusan malware.
Komunikasi jaringan malware dapat berinteraksi firewall saat menghubungkan ke server perintah dan kontrol yang dikodekan secara hardcode.
Aplikasi dropper menggunakan layar pembaruan palsu dalam bahasa Spanyol untuk meminta instalasi payload.
Setelah diluncurkan, PromptSpy berkomunikasi dengan server perintah dan kontrol hardcoded untuk menerima instruksi, termasuk kunci API Gemini.
Malware tersebut menangkap cuplikan XML layar perangkat dan mengirimkannya ke Gemini, yang mengembalikan instruksi berformat JSON yang dijalankan malware untuk memastikan persistensi.
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
