PromptSpy: pierwsze znane malware na Androida, które używa GenAI (Gemini) do utrzymania się na urządzeniu

Wprowadzenie do problemu / definicja luki

PromptSpy to rodzina złośliwego systemu na Androida opisana przez ESET jako pierwszy znany przypadek użycia generatywnej AI w „execution flow” malware – nie do tworzenia treści phishingowych, ale do dynamicznego sterowania interfejsem (UI) w celu zwiększenia odporności na zamknięcie aplikacji i uzyskania „trwałości” działania. Kluczowym elementem jest wykorzystanie Google Gemini do interpretacji aktualnego ekranu (w formie zrzutu struktury UI) i zwracania instrukcji działań (np. kliknięcia/tapy) tak, by aplikacja została „przypięta” w widoku ostatnich aplikacji (Recent Apps).

W skrócie

• PromptSpy występuje jako dropper + payload; dropper nakłania do manualnej instalacji „aktualizacji”, która jest adekwatnym ładunkiem.
• GenAI (Gemini) służy do automatyzacji gestów w UI: malware wysyła do modelu XML z hierarchią elementów ekranu, a dostaje JSON z instrukcjami kliknięć/gestów.
• Celem operacyjnym nie jest sama AI, tylko zdalna kontrola przez VNC po uzyskaniu uprawnień Dostępności (Accessibility).
• ESET wskazuje na prawdopodobne ukierunkowanie na Argentynę (m.in. „MorganArg”, hiszpańskie elementy, ślady dystrybucji), przy jednoczesnym braku potwierdzenia w telemetrii ESET (możliwy PoC).

Kontekst / historia / powiązania

ESET opisuje dwie powiązane linie rozwoju:

• VNCSpy – wcześniejsza wersja widziana w serwisach analitycznych w połowie stycznia 2026.
• PromptSpy – bardziej zaawansowana wersja (próbki z lutego 2026), w której dodano moduł „AI-assisted UI manipulation”.

Łańcuch dystrybucji, jaki ESET zrekonstruował na podstawie danych z analiz, miał obejmować domeny dystrybucyjne oraz stronę podszywającą się pod bank (brandowanie sugerujące „Chase/Morgan”), a także powiązany trojan phishingowy podpisany tym samym certyfikatem deweloperskim.

Analiza techniczna / szczegóły luki

1) Dropper → payload („fałszywa aktualizacja”)

Dropper zawiera w zasobach (assets) adekwatne APK (payload). Po uruchomieniu wyświetla komunikat sugerujący instalację aktualizacji, którą ofiara musi zainstalować manualnie.

2) Uprawnienia Accessibility jako „master key”

Po instalacji payload prosi o Accessibility Service, co daje zdolność odczytu elementów na ekranie i wykonywania interakcji (kliknięć/gestów). To klasyczny, ale przez cały czas skuteczny wzorzec nadużyć Dostępności w malware na Androida.

3) GenAI jako silnik „adaptacyjnej automatyzacji UI”

Najciekawszy element: PromptSpy próbuje uzyskać „trwałość” poprzez zablokowanie/przypięcie aplikacji w Recent Apps (mechanizm widoczny w wielu launcherach jako ikona kłódki). Ponieważ ścieżka do tej opcji różni się między producentami/wersjami UI, twarde skrypty łatwo się psują.

PromptSpy rozwiązuje to tak:

• zbiera XML dump aktualnego ekranu (teksty, opisy, klasy, pakiety, współrzędne/bounds),
• wysyła do Gemini prompt + XML,
• odbiera JSON z instrukcjami (np. „tap w środek bounds elementu X”),
• wykonuje akcje przez Accessibility i powtarza pętlę, aż model potwierdzi, iż aplikacja jest „locked”.

To oznacza, iż GenAI jest tu użyte jak „planner” dla automatyzacji UI, a nie generator tekstu.

4) Funkcje szpiegowskie i zdalna kontrola (VNC)

ESET wskazuje, iż głównym „ładunkiem wartości” jest wbudowany VNC, pozwalający operatorowi widzieć ekran i sterować urządzeniem w czasie rzeczywistym po uzyskaniu Dostępności. Dodatkowo malware ma funkcje typu: zbieranie informacji o urządzeniu, screenshoty, nagrywanie aktywności ekranu, przechwytywanie danych ekranu blokady i inne działania opisane w materiałach ESET.

5) Utrudnianie usunięcia (anti-removal)

PromptSpy ma mechanizm obrony: przy próbie odinstalowania lub wyłączenia Dostępności nakłada niewidoczne nakładki (overlay) – przezroczyste prostokąty przechwytujące kliknięcia na kluczowych przyciskach (np. „Uninstall”, „Stop” itp.). ESET podaje, iż praktyczną metodą usunięcia jest Safe Mode, gdzie aplikacje firm trzecich nie działają.

6) Atrybucja i pochodzenie

W kodzie zauważono debug stringi i obsługę zdarzeń Dostępności opisaną po chińsku, co sugeruje (ze średnią pewnością) środowisko developerskie chińskojęzyczne.

Praktyczne konsekwencje / ryzyko

• Dla użytkowników: po przejęciu Dostępności i uruchomieniu VNC atakujący może wykonywać działania „jak użytkownik” (otwieranie aplikacji bankowych, zatwierdzanie okien, przełączanie ekranów), a mechanizmy anti-removal utrudniają szybkie pozbycie się zagrożenia.
• Dla zespołów SOC / IR: pojawia się nowa klasa TTP: malware, które zamiast utrzymywać zestaw reguł per producent/UI, deleguje „rozumienie ekranu” do modelu. To może zwiększyć skalowalność ataków na różnorodny ekosystem Androida.
• Ryzyko adaptacji: choćby jeżeli w tym przypadku prompt i model są „na sztywno” w kodzie, sam wzorzec (UI → LLM → akcje) jest łatwy do skopiowania przez innych aktorów.

Rekomendacje operacyjne / co zrobić teraz

Dla użytkowników i administratorów MDM

1. Zablokuj sideloading (instalacje spoza oficjalnych sklepów) politykami MDM, gdzie to możliwe; PromptSpy nie był dystrybuowany przez Google Play.
2. Audyt Accessibility: regularnie sprawdzaj, które aplikacje mają aktywną Dostępność; odbieraj ją aplikacjom, które nie są absolutnie zaufane.
3. Jeśli podejrzewasz infekcję: uruchom urządzenie w Trybie awaryjnym (Safe Mode) i odinstaluj podejrzaną aplikację (ESET opisuje to jako realną drogę obejścia overlay).
4. Upewnij się, iż Google Play Protect jest aktywny (ESET wskazuje, iż użytkownicy są chronieni przed znanymi wariantami, a ustalenia przekazano Google).

Dla SOC/Blue Team

1. Polityki detekcji na urządzeniach mobilnych: alertuj na podejrzane żądania Dostępności + nakładki/overlays + nietypowe usługi w foreground.
2. Threat hunting po artefaktach dystrybucji: domeny i infrastruktura wskazana w analizie ESET (np. serwisy dystrybucyjne/phishingowe) mogą służyć jako IOC do blokad na poziomie DNS/SWG (tam, gdzie dotyczy).
3. Procedury IR: w playbookach mobilnych uwzględnij scenariusz, w którym UI automatyzacja jest adaptacyjna (LLM), a nie skryptowa — to wpływa na ocenę „dlaczego to działa na tylu modelach urządzeń”.

Różnice / porównania z innymi przypadkami

• Klasyczne malware na Androida automatyzuje UI przez stałe współrzędne, selektory lub heurystyki, co często pęka na różnych wersjach nakładek producentów. PromptSpy wykorzystuje LLM do „czytania” UI i generowania akcji w locie.
• ESET zwraca uwagę, iż to drugi przypadek „AI-powered malware” wykryty przez ich badaczy, po PromptLock (sierpień 2025) – ale tutaj AI jest użyte w innym miejscu łańcucha ataku (persistencja/automatyzacja UI, nie planowanie ataku jako takiego).

Podsumowanie / najważniejsze wnioski

PromptSpy to istotny sygnał zmiany: GenAI przestaje być wyłącznie „akceleratorem socjotechniki”, a zaczyna pełnić rolę warstwy adaptacyjnej automatyzacji w samym malware. W praktyce oznacza to, iż atakujący mogą łatwiej skalować kampanie na zróżnicowane urządzenia i wersje Androida, zwłaszcza gdy osiągną Dostępność i zdalne sterowanie (VNC). choćby jeżeli obecne próbki mogą być PoC, wzorzec jest na tyle czytelny, iż warto już teraz uwzględniać go w detekcji, politykach MDM oraz edukacji użytkowników.

Źródła / bibliografia

1. Analiza techniczna ESET na WeLiveSecurity: „PromptSpy ushers in the era of Android threats using GenAI” (We Live Security)
2. Komunikat ESET Newsroom: „ESET Research discovers PromptSpy, the first Android threat to use generative AI” (ESET)