Опубликовано: 19.02.2026, 23:57
Исследователи антивирусной компании ESET идентифицировали первый Android-зловред, использующий нейросеть Google Gemini непосредственно в ходе кибератаки. Новый троян, получивший название PromptSpy, привлекает генеративный искусственный интеллект для навигации по интерфейсу смартфона и закрепления в системе. Об этом сообщает Anti-Malware.ru.
Вредоносная программа направляет Gemini XML-дамп текущего экрана с детальным описанием всех элементов интерфейса. В ответ нейросеть генерирует пошаговые инструкции в формате JSON, указывая, куда нажать для достижения цели. Такой подход позволяет трояну адаптироваться к различным версиям Android, фирменным оболочкам и разрешениям экранов без использования жестко прописанных координат. После того как приложение оказывается закрепленным в списке недавних и его нельзя закрыть свайпом, PromptSpy активирует встроенный VNC-модуль, получая полный удаленный доступ к устройству.
«В ответ модель выдает пошаговые инструкции в формате JSON, куда нажать и что сделать дальше», — сообщили представители ESET.
Зловред способен перехватывать ПИН-код и пароль блокировки экрана, записывать видео, делать скриншоты и собирать данные об устройстве. Управление осуществляется через сервер с жестко прописанным IP-адресом, а ключ для доступа к Gemini троян получает оттуда же. Для маскировки используются службы доступности Android и невидимые оверлеи, которые делают стандартное удаление приложения бесполезным — избавиться от угрозы можно только через безопасный режим.
Кампания носит финансовый характер и распространяется через фишинговый сайт, имитирующий JPMorgan Chase Argentina (приложение MorganArg), минуя Google Play. В коде обнаружены строки отладки на упрощенном китайском, что указывает на возможное происхождение разработки. Эксперты отмечают, что PromptSpy является эволюционировавшей версией другого трояна — VNCSpy, замеченного в прошлом месяце.
