- Το PromptSpy είναι το πρώτο malware Android που ενσωματώνει AI στη λειτουργία του, ρωτώντας ενεργά ένα μοντέλο για να προσαρμόζεται σε πραγματικό χρόνο.
- Χρησιμοποιεί Google Gemini για οδηγίες χειρισμού του UI, ώστε να δουλεύει σε διαφορετικές συσκευές, εκδόσεις Android και γραφικά περιβάλλοντα.
- Είναι δύσκολο στην αφαίρεση, επειδή εκμεταλλεύεται υπηρεσίες προσβασιμότητας και αόρατα overlays που μπλοκάρουν την απεγκατάσταση.
Οι ερευνητές της ESET εντόπισαν το PromptSpy, την πρώτη απειλή για Android που ενσωματώνει την τεχνητή νοημοσύνη (AI) απευθείας στη διαδικασία εκτέλεσης της, ώστε να εξασφαλίζει την «επιβίωση» της στη συσκευή του θύματος.
Με απλά λόγια, το κακόβουλο λογισμικό ρωτά ενεργά ένα γλωσσικό μοντέλο πως να δράσει σε πραγματικό χρόνο ώστε να προσαρμοστεί ανάλογα με το περιβάλλον που βρίσκει μπροστά του.
Η ενσωμάτωση AI μέσα στο malware δεν αφορά μόνο «κείμενο», αλλά και λήψη αποφάσεων για ενέργειες πάνω στο γραφικό περιβάλλον του χρήστη.
Πως το PromptSpy χρησιμοποιεί το Google Gemini
Το πιο εντυπωσιακό στοιχείο είναι ότι το PromptSpy χρησιμοποιεί το Google Gemini για να λαμβάνει αναλυτικές οδηγίες σχετικά με το πως θα χειριστεί το interface του smartphone.
Όπως εξήγησε ο Lukáš Štefanko, ο ειδικός της ESET που συντόνισε την ανακάλυψη, η χρήση της AI της Google επιτρέπει στο malware να προσαρμόζεται άμεσα σε διαφορετικά μοντέλα τηλεφώνων, εκδόσεις λειτουργικού και layouts.
Αυτό το κάνει εξαιρετικά ευέλικτο, με δυνατότητα να χτυπήσει θεωρητικά ένα απεριόριστο πλήθος πιθανών θυμάτων, τουλάχιστον «στα χαρτιά».
Όσο περισσότερες παραλλαγές UI και συσκευών μπορεί να χειριστεί ένα malware, τόσο μειώνεται το «κόστος» ανάπτυξης για μαζικές καμπάνιες απάτης.
Διανομή εκτός Play Store και μεταμφίεση σε τραπεζική εφαρμογή
Σύμφωνα με τα ευρήματα, το PromptSpy διανέμεται μέσω ειδικού ιστότοπου και δεν ήταν ποτέ διαθέσιμο στο Google Play Store.
Εντοπίστηκε μεταμφιεσμένο ως ψεύτικη τραπεζική εφαρμογή με όνομα “MorganArg”, σε μια προφανή προσπάθεια μίμησης της Morgan Chase, με το “arg” να παραπέμπει στην Αργεντινή.
Εφαρμογές τραπεζών από ιστότοπους και όχι από επίσημα stores είναι κλασικό μοτίβο για banking trojans και κλοπή στοιχείων.
Τι μπορεί να κάνει στο κινητό του θύματος
Το trojan μπορεί να καταγράφει βίντεο από την οθόνη, να τραβά screenshot και να αφαιρεί δεδομένα ακόμη και από την οθόνη κλειδώματος.
Το πιο κρίσιμο, όμως, είναι ότι ενεργοποιεί ένα module απομακρυσμένου ελέγχου μέσω Virtual Network Computing (VNC), δίνοντας στον επιτιθέμενο δυνατότητα χειρισμού της συσκευής.
Για να μην «λείπει τίποτα», το malware καταχράται τις υπηρεσίες προσβασιμότητας για να προστατευτεί από απεγκατάσταση, φτάνοντας στο σημείο να δημιουργεί αόρατα overlays που εξουδετερώνουν τις προσπάθειες του χρήστη να αφαιρέσει την εφαρμογή.
Πίνακας δυνατοτήτων του PromptSpy
| Λειτουργία | Τι σημαίνει στην πράξη | Κίνδυνος |
|---|---|---|
| Screen recording | Καταγραφή ενεργειών χρήστη σε apps και φόρμες | Κλοπή κωδικών και ευαίσθητων δεδομένων |
| Screenshots | Αποτύπωση οθόνης σε κρίσιμες στιγμές | Υποκλοπή OTP και στοιχείων |
| Κλοπή από lock screen | Συλλογή πληροφοριών που εμφανίζονται πριν το ξεκλείδωμα | Διαρροή ειδοποιήσεων και περιεχομένου |
| VNC remote control | Απομακρυσμένος χειρισμός σαν να κρατά ο δράστης το κινητό | Απάτη σε τράπεζες και λογαριασμούς |
| Abuse accessibility | Ενέργειες «εκ μέρους» του χρήστη και μπλοκάρισμα απεγκατάστασης | Επιμονή του malware στη συσκευή |
Γιατί είναι τόσο δύσκολο να αφαιρεθεί
Αν και η τηλεμετρία δείχνει ότι μπορεί να πρόκειται ακόμη για μια πολύ στοχευμένη καμπάνια, κυρίως προς την Αργεντινή, η επικινδυνότητα βρίσκεται στη δυσκολία αφαίρεσης.
Ο μόνος τρόπος πλήρους εκρίζωσης είναι η επανεκκίνηση της συσκευής σε ασφαλή λειτουργία, όπου οι εφαρμογές τρίτων απενεργοποιούνται και μπορούν να αφαιρεθούν χειροκίνητα από τις ρυθμίσεις.
Μόνο έτσι δεν ενεργοποιούνται οι «άμυνες» που χτίζει η AI, οι οποίες μπλοκάρουν στην πράξη τα βήματα απεγκατάστασης.
Πως να το αφαιρέσετε με ασφαλή λειτουργία (γενικά βήματα)
- Κρατήστε πατημένο το πλήκτρο Power μέχρι να εμφανιστούν οι επιλογές τερματισμού.
- Κρατήστε πατημένο το Power off μέχρι να εμφανιστεί η επιλογή ασφαλούς λειτουργίας.
- Μπείτε στις Ρυθμίσεις > Εφαρμογές και αφαιρέστε την ύποπτη εφαρμογή.
- Κάντε επανεκκίνηση σε κανονική λειτουργία και ελέγξτε ξανά δικαιώματα και ύποπτες υπηρεσίες.
Ένα «σημείο χωρίς επιστροφή» για την κυβερνοασφάλεια
Η υπόθεση PromptSpy δείχνει ένα σημείο καμπής, αφού πλέον η AI γίνεται ενεργό λογικό κομμάτι μέσα στο malware, μετατρέποντάς το σε κάτι σαν «σκεπτόμενη» οντότητα που ερμηνεύει το πλαίσιο στο οποίο λειτουργεί.
Η cybersecurity πρέπει να κινηθεί γρήγορα για να αντιμετωπίσει μια απειλή τέτοιου τύπου, και αυτό είναι πλέον κάτι παραπάνω από βέβαιο.
Τι αλλάζει για τους χρήστες Android και πως να προστατευτείτε
Η βασική αλλαγή που φέρνουν απειλές όπως το PromptSpy είναι ότι δεν αρκεί να «ξέρουν» ένα συγκεκριμένο κουμπί ή μενού.
Με τη βοήθεια AI μπορούν να προσαρμόζονται σε διαφορετικές οθόνες και ροές, άρα η άμυνα πρέπει να βασίζεται περισσότερο σε κανόνες συμπεριφοράς και λιγότερο σε μεμονωμένα «μοτίβα».
Ένα πρακτικό σημείο εκκίνησης είναι ο έλεγχος των πηγών εγκατάστασης, γιατί η καμπάνια περιγράφηκε ως εκτός Play Store.
Αν εγκαθιστάτε εφαρμογές μόνο από επίσημες πηγές και έχετε ενεργό το Play Protect, μειώνετε σημαντικά την πιθανότητα να περάσει ένα banking trojan ως “update” ή “τραπεζικό εργαλείο”.
Γρήγορος έλεγχος «υψηλού ρίσκου» δικαιωμάτων
- Ελέγξτε ποια apps έχουν πρόσβαση σε Υπηρεσίες προσβασιμότητας, γιατί συχνά είναι το «κλειδί» για overlays και αυτοματισμούς.
- Ελέγξτε άδειες για Εμφάνιση πάνω από άλλες εφαρμογές, επειδή χρησιμοποιείται για παραπλανητικά ή αόρατα layers.
- Ελέγξτε αν κάποια εφαρμογή έχει ύποπτη πρόσβαση σε Ειδοποιήσεις, γιατί μπορεί να υποκλέπτει OTP κωδικούς.
Αν μια εφαρμογή ζητά προσβασιμότητα ή overlay χωρίς ξεκάθαρο λόγο, αντιμετωπίστε το ως ένδειξη κινδύνου και διακόψτε την εγκατάσταση.
Πίνακας πρακτικών μέτρων άμυνας
| Μέτρο | Γιατί βοηθά | Πότε να το κάνετε |
|---|---|---|
| Εγκατάσταση μόνο από επίσημα stores | Μειώνει την έκθεση σε «ψεύτικα» APK και phishing σελίδες | Πριν από κάθε νέο app, ειδικά τραπεζικό |
| Απενεργοποίηση “unknown sources” | Κλείνει τον εύκολο δρόμο εγκατάστασης κακόβουλων APK | Μόνιμα, εκτός αν υπάρχει συγκεκριμένη ανάγκη |
| Τακτικά updates Android και εφαρμογών | Καλύπτει κενά ασφαλείας που εκμεταλλεύονται trojans | Μόλις διατίθενται ενημερώσεις ασφαλείας |
| 2FA μέσω authenticator | Είναι πιο ανθεκτικό από SMS που μπορεί να εμφανιστεί σε ειδοποιήσεις | Σε τράπεζες, email και social accounts |
Αν υποψιάζεστε μόλυνση, κινηθείτε με σειρά ώστε να περιορίσετε τη ζημιά και να μη «κλειδώσει» η κατάσταση από τα overlays.
- Αποσυνδέστε το κινητό από Wi‑Fi και δεδομένα, για να μειώσετε τον απομακρυσμένο έλεγχο.
- Μπείτε σε ασφαλή λειτουργία και αφαιρέστε την ύποπτη εφαρμογή.
- Αλλάξτε άμεσα κωδικούς από άλλη συσκευή, ειδικά για email και e-banking.
- Επικοινωνήστε με την τράπεζα για έλεγχο κινήσεων και πιθανό πάγωμα πρόσβασης.
Σε επίπεδο οργανισμών, τέτοιου τύπου malware ενισχύει την ανάγκη για MDM, πολιτικές εγκατάστασης εφαρμογών και καταγραφή ύποπτων δικαιωμάτων.
Όσο το κακόβουλο λογισμικό γίνεται πιο «προσαρμοστικό», τόσο μεγαλύτερη αξία αποκτούν οι έλεγχοι πρόσβασης, τα logs και η έγκαιρη ανίχνευση ανωμαλιών στη συμπεριφορά συσκευών.
