PromptSpy – первая угроза для Android, использующая генеративный ИИ в процессе работы

Исследователи по информационной безопасности выявили первую на сегодняшний день вредоносную программу для Android, которая использует генеративный искусственный интеллект непосредственно в процессе выполнения. Вредонос задействует модель Google Gemini для адаптации механизмов закрепления на различных устройствах.

В опубликованном отчете исследователь компании ESET Лукаш Штефанко (Lukas Stefanko) подробно описал новую семью Android-угроз под названием PromptSpy. По его словам, злоумышленники используют модель Google Gemini для того, чтобы вредоносное ПО могло более эффективно сохранять свое присутствие на зараженных устройствах и адаптироваться к их особенностям.

В ESET сообщили:

В феврале 2026 года мы обнаружили две версии ранее неизвестной семьи вредоносных программ для Android.

Первая версия, получившая название VNCSpy, была загружена на сервис VirusTotal 13 января 2026 года. Она была представлена тремя образцами, отправленными из Гонконга. Позднее, 10 февраля 2026 года, на VirusTotal были загружены еще четыре образца более продвинутого вредоносного ПО, созданного на основе VNCSpy. Эти образцы были отправлены из Аргентины.

Первая известная Android-вредоносная программа с генеративным ИИ

Хотя ранее вредоносные программы для Android уже применяли модели машинного обучения — например, для анализа скриншотов с целью рекламного мошенничества, — в ESET подчеркивают, что PromptSpy стала первым зафиксированным случаем интеграции генеративного ИИ непосредственно в процесс выполнения вредоносного кода.

На некоторых устройствах Android пользователи могут «заблокировать» или «закрепить» приложение в списке недавних задач, удерживая его и выбрав соответствующую опцию. После такой блокировки система с меньшей вероятностью завершит работу приложения при очистке памяти или при нажатии кнопки «Очистить все».

Для легитимных приложений это означает, что фоновые процессы не будут принудительно остановлены. Однако для вредоносного ПО, такого как PromptSpy, данная возможность может использоваться как механизм закрепления в системе.

Проблема для злоумышленников заключается в том, что способ закрепления или блокировки приложения отличается в зависимости от производителя устройства и версии оболочки Android. Это существенно усложняет создание универсального сценария, который корректно сработает на всех моделях.

Именно здесь и задействуется искусственный интеллект. PromptSpy отправляет модели Google Gemini текстовый запрос вместе с XML-дампом текущего экрана устройства. В этот дамп входят сведения о видимых элементах пользовательского интерфейса, текстовых подписях, типах классов, а также координатах объектов на экране.

В ответ Gemini возвращает инструкции в формате JSON, описывающие конкретные действия, которые необходимо выполнить на устройстве для закрепления приложения в списке недавних задач.

После этого вредоносное ПО выполняет полученные команды через службу специальных возможностей Android (Accessibility Service), получает обновленное состояние экрана и снова отправляет его модели Gemini. Такой цикл повторяется до тех пор, пока ИИ не подтвердит, что приложение успешно закреплено в списке последних запущенных.

ESET поясняет:

Хотя PromptSpy использует Gemini лишь в одной из своих функций, сам факт интеграции подобных ИИ-инструментов демонстрирует, как вредоносное ПО становится более динамичным. Это дает злоумышленникам возможность автоматизировать действия, которые при традиционном сценарном программировании реализовать значительно сложнее.

Несмотря на новаторское применение языковой модели для изменения поведения во время выполнения, основное назначение PromptSpy — шпионская деятельность.

Вредонос содержит встроенный модуль VNC, позволяющий злоумышленникам получать полный удаленный доступ к устройству при условии, что приложению предоставлены разрешения службы специальных возможностей.

Получив такой доступ, атакующие могут в режиме реального времени просматривать экран Android-устройства и управлять им дистанционно.

По данным ESET, вредоносная программа способна выполнять следующие действия:

• Загружать список установленных на устройстве приложений;
• Перехватывать PIN-коды и пароли экрана блокировки;
• Записывать процесс разблокировки по графическому ключу в виде видео;
• Делать скриншоты по команде;
• Записывать активность экрана и жесты пользователя;
• Передавать информацию о текущем активном приложении и состоянии экрана.

Чтобы усложнить удаление, зловред применяет дополнительный механизм защиты. Когда пользователь пытается удалить приложение или отключить для него разрешения службы специальных возможностей, программа накладывает прозрачные, невидимые прямоугольники поверх элементов интерфейса — в частности, кнопок с надписями Остановить, Завершить, Очистить или Удалить.

В результате, когда пользователь нажимает на кнопку остановки или удаления, он фактически нажимает на невидимый элемент, который перехватывает действие и блокирует попытку удаления приложения.

Эксперимент или реальная угроза: статус PromptSpy остается неясным

Лукаш Штефанко отмечает, что для удаления вредоносного приложения пользователям необходимо перезагрузить устройство в безопасном режиме Android (Safe Mode). В этом режиме сторонние приложения временно отключаются и не могут препятствовать удалению вредоноса.

ESET сообщает, что на данный момент в телеметрии не зафиксировано распространение PromptSpy или его загрузчика (dropper). Это может указывать на то, что вредонос пока существует лишь в виде «доказательства концепции» — демонстрационной разработки, созданной для проверки технической возможности.

Штефанко пояснил:

На данный момент мы не наблюдаем в нашей телеметрии никаких признаков распространения загрузчика PromptSpy или его основного модуля. Это может означать, что перед нами лишь proof-of-concept.

Тем не менее, учитывая наличие выделенного домена для распространения и поддельного банковского сайта, мы не можем исключать возможность того, что как загрузчик, так и PromptSpy действительно использовались в реальной среде

Действительно, данные VirusTotal указывают на то, что некоторые образцы ранее распространялись через отдельный домен mgardownload[.]com, а также использовали веб-страницу на m-mgarg[.]com, маскирующуюся под сайт банка JPMorgan Chase. Это может свидетельствовать о том, что вредонос уже применялся в реальных атаках.

Хотя распространение данного вредоносного ПО, судя по всему, было крайне ограниченным, сам факт его появления демонстрирует новую тенденцию: злоумышленники начинают использовать генеративный ИИ не только для создания атак и фишинговых сайтов, но и для изменения поведения вредоносного кода в реальном времени.

Ранее в этом месяце подразделение Google Threat Intelligence сообщило, что хакерские группировки также применяют модель Google Gemini на всех этапах своих операций — от разведки и сбора информации до действий после получения доступа к системе жертвы.