Pratite nas preko RSS-aPromptSpy: novi Android malver koristi Gemini AI
Mobilni telefoni, 23.02.2026, 12:00 PM
Istraživači iz kompanije ESET identifikovali su novi Android malver pod nazivom PromptSpy, unapređenu verziju ranije otkrivenog VNCSpy malvera, koji koristi generativnu veštačku inteligenciju za održavanje perzistencije na kompromitovanom uređaju.
PromptSpy koristi Google Gemini kako bi analizirao sadržaj ekrana u realnom vremenu i generisao precizne instrukcije za manipulaciju korisničkim interfejsom (UI). Cilj je da se maliciozna aplikacija „zaključa“ u listi nedavnih aplikacija, čime se sprečava njeno gašenje ili uklanjanje.
Malver je distribuiran kroz lažnu bankarsku aplikaciju pod nazivom MorganArg, koja imitira Chase Bank u Argentini. Nakon instalacije, dropper preuzima dodatni payload i zahteva dozvole za Accessibility Services, čime dobija mogućnost čitanja sadržaja sa ekrana i simuliranja korisničkih akcija.
Kada se aplikacija pokrene, prikazuje jednostavan „Loading“ ekran dok u pozadini otvara prikaz nedavnih aplikacija, prikuplja detaljne UI podatke i u XML formatu ih šalje Gemini-ju od koga dobija instrukcije za tačne tap i swipe pokrete koje izvršava preko Accessibility Services. Proces se ponavlja dok aplikacija ne bude uspešno „zaključana“.
Ovaj ciklus omogućava malveru da se prilagodi različitim verzijama Androida, proizvođačima i interfejsima.
Nakon uspostavljanja perzistencije, PromptSpy uspostavlja komunikaciju sa C2 serverom preko VNC protokola, uz AES enkripciju. Operateri tada dobijaju pun daljinski pristup uređaju.
Malver može presresti PIN ili lozinku za zaključavanje ekrana, snimati ekran i korisničke gestove, praviti skrinšotove, prijavljivati aktivnu aplikaciju i status ekrana, prikupiti listu instaliranih aplikacija i dobiti Gemini API ključ sa servera.
Deinstalacija je otežana time što PromptSpy prekriva ekran nevidljivim elementima kako bi blokirao pokušaj uklanjanja. Uklanjanje je moguće tek pokretanjem uređaja u Safe Mode režimu.
ESET navodi da do sada nema potvrde o širokoj distribuciji u telemetriji, ali postojanje infrastrukture i distribucionog domena sugeriše da je kampanja mogla biti aktivna.
Izdvojeno
NoVoice malver na Google Play: zaraženo 2,3 miliona Android uređaja
Novi Android malver pod nazivom NoVoice otkriven je u Google Play prodavnici, skriven u više od 50 aplikacija koje su zajedno preuzete najmanje 2,3 m... Dalje
Apple napravio neuobičajen potez: bezbednosne zakrpe za iOS 18 zbog DarkSword exploita
Apple je doneo neuobičajenu odluku da zaštiti starije iPhone uređaje, potvrdivši da će objaviti bezbednosno ažuriranje za uređaje koji i dalje ... Dalje
Novi Android malver Perseus krade lozinke, bankovne podatke i lične beleške
Novi Android malware nazvan Perseus širi se kroz aplikacije za gledanje televizije putem interneta, sa ciljem krađe lozinki, bankovnih podataka i sa... Dalje
Nova zaštita od Android malvera: Google uvodi 24h čekanja za instalaciju aplikacija van Play prodavnice
Google je najavio novi „advanced flow“ za sideloading aplikacija na Androidu, koji uvodi obavezni period čekanja od 24 sata pre instalaci... Dalje
Nova iOS pretnja DarkSword zaobilazi zaštite i krade podatke korisnika
Istraživači kompanije za mobilnu bezbednost Lookout otkrili su novu kampanju koja koristi exploit kit za iOS uređaje pod nazivom DarkSword, koji om... Dalje
Pratite nas
Nagrade
Prijatelji
