ESET Research hat gerade die allererste Android-Bedrohung entdeckt, die generative KI nutzt: PromptSpy. Dies ist die erste Android-Malware, die in ihrem Ausführungsablauf generative KI nutzt.
PromptSpy ist die allererste Android-Malware, die generative KI nutzt
Diese Malware kann Sperrbildschirmdaten erfassen, Deinstallationsversuche blockieren, Geräteinformationen sammeln, Screenshots erstellen, Bildschirmaktivitäten als Video aufzeichnen und vieles mehr. Nach PromptLock aus dem letzten Jahr ist es die zweite KI-gestützte Malware, auf die das Unternehmen gestoßen ist. Es war der erste Fall einer KI-gesteuerten Ransomware.
Das sagt ESET Research „Diese Kampagne scheint finanziell motiviert zu sein“ und es richtet sich in erster Linie an Benutzer in Argentinien. Die Schlussfolgerung zur finanziellen Motivation basiert auf Hinweisen zur Sprachlokalisierung und den Verteilungsvektoren.
Gemini wird verwendet, um PromptSpy Schritt-für-Schritt-Anleitungen bereitzustellen
Das sagt die Quelle „Gemini wird verwendet, um PromptSpy Schritt-für-Schritt-Anleitungen bereitzustellen, wie man die schädliche App in der Liste der zuletzt verwendeten Apps „sperrt“, d.
ESET-Forscher Lukáš Štefanko, der PromptSpy entdeckt hat, sagte: „Da Android-Malware oft auf UI-basierter Navigation basiert, ermöglicht die Nutzung generativer KI den Bedrohungsakteuren, sich an mehr oder weniger jedes Gerät, Layout oder Betriebssystemversion anzupassen, was den Pool potenzieller Opfer erheblich vergrößern kann.“
Sein Hauptzweck besteht darin, ein integriertes VNC-Modul einzusetzen und so den Betreibern Fernzugriff auf das Gerät des Opfers zu ermöglichen. Diese Malware missbraucht außerdem die Barrierefreiheitsdienste, um die Deinstallation mit unsichtbaren Overlays zu blockieren, Sperrbildschirmdaten zu erfassen und Bildschirmaktivitäten als Video aufzuzeichnen.
Diese Malware war noch nie über den Google Play Store verfügbar
Es wird außerdem darauf hingewiesen, dass PromptSpy über eine spezielle Website vertrieben wird und nie bei Google Play verfügbar war. ESET gibt an, seine Erkenntnisse mit Google geteilt zu haben; Allerdings sind Android-Benutzer durch Google Play Protect automatisch vor bekannten Versionen dieser Malware geschützt.
Der Name der App (die diese Malware enthält) ist „MorganArg“ und das Symbol ist von Morgan Chase inspiriert. Die App versucht offensichtlich, sich als die Bank Morgan Chase auszugeben. MorganArg steht wahrscheinlich für Morgan Argentina.
Die einzige Möglichkeit, es zu deinstallieren, ist der abgesicherte Modus
ESET hat außerdem darauf hingewiesen, dass die einzige Möglichkeit, diese App zu entfernen, darin besteht, das Telefon im abgesicherten Modus zu starten, da sonst die Deinstallation blockiert wird.
