Pratite nas preko RSS-aPromptSpy: novi Android malver koristi Gemini AI
Mobilni telefoni, 23.02.2026, 12:00 PM
Istraživači iz kompanije ESET identifikovali su novi Android malver pod nazivom PromptSpy, unapređenu verziju ranije otkrivenog VNCSpy malvera, koji koristi generativnu veštačku inteligenciju za održavanje perzistencije na kompromitovanom uređaju.
PromptSpy koristi Google Gemini kako bi analizirao sadržaj ekrana u realnom vremenu i generisao precizne instrukcije za manipulaciju korisničkim interfejsom (UI). Cilj je da se maliciozna aplikacija „zaključa“ u listi nedavnih aplikacija, čime se sprečava njeno gašenje ili uklanjanje.
Malver je distribuiran kroz lažnu bankarsku aplikaciju pod nazivom MorganArg, koja imitira Chase Bank u Argentini. Nakon instalacije, dropper preuzima dodatni payload i zahteva dozvole za Accessibility Services, čime dobija mogućnost čitanja sadržaja sa ekrana i simuliranja korisničkih akcija.
Kada se aplikacija pokrene, prikazuje jednostavan „Loading“ ekran dok u pozadini otvara prikaz nedavnih aplikacija, prikuplja detaljne UI podatke i u XML formatu ih šalje Gemini-ju od koga dobija instrukcije za tačne tap i swipe pokrete koje izvršava preko Accessibility Services. Proces se ponavlja dok aplikacija ne bude uspešno „zaključana“.
Ovaj ciklus omogućava malveru da se prilagodi različitim verzijama Androida, proizvođačima i interfejsima.
Nakon uspostavljanja perzistencije, PromptSpy uspostavlja komunikaciju sa C2 serverom preko VNC protokola, uz AES enkripciju. Operateri tada dobijaju pun daljinski pristup uređaju.
Malver može presresti PIN ili lozinku za zaključavanje ekrana, snimati ekran i korisničke gestove, praviti skrinšotove, prijavljivati aktivnu aplikaciju i status ekrana, prikupiti listu instaliranih aplikacija i dobiti Gemini API ključ sa servera.
Deinstalacija je otežana time što PromptSpy prekriva ekran nevidljivim elementima kako bi blokirao pokušaj uklanjanja. Uklanjanje je moguće tek pokretanjem uređaja u Safe Mode režimu.
ESET navodi da do sada nema potvrde o širokoj distribuciji u telemetriji, ali postojanje infrastrukture i distribucionog domena sugeriše da je kampanja mogla biti aktivna.
Izdvojeno
BeatBanker: kako novi Android trojanac koristi „tihu muziku“ za krađu kriptovaluta
Istraživači iz kompanije Kaspersky otkrili su novi Android malver nazvan BeatBanker, koji koristi neobičnu taktiku kako bi ostao aktivan na zaraže... Dalje
Google zakrpio zero-day ranjivost u Qualcomm komponenti korišćenu u ciljanim napadima
Google je objavio martovsko bezbednosno ažuriranje za Android, kojim je zakrpljeno ukupno 129 ranjivosti, uključujući zero-day propust CVE-2026-213... Dalje
Oblivion: novi Android malver se širi kroz lažno sistemsko ažuriranje
Istraživači iz kompanije Certo otkrili su Android trojanca pod nazivom Oblivion, koji se javno prodaje sajber kriminalcima za mesečnu pretplatu od ... Dalje
ZeroDayRAT: novi malver za špijuniranje i krađu kriptovaluta na Android i iOS uređajima
Nova mobilna špijunska platforma pod nazivom ZeroDayRAT promoviše se na Telegram kanalima kao pretplatnička Malware-as-a-Service (MaaS) usluga koja... Dalje
PromptSpy: novi Android malver koristi Gemini AI
Istraživači iz kompanije ESET identifikovali su novi Android malver pod nazivom PromptSpy, unapređenu verziju ranije otkrivenog VNCSpy malvera, koj... Dalje
Pratite nas
Nagrade
Prijatelji
