ESET Research heeft zojuist de allereerste Android-dreiging ontdekt die gebruikmaakt van generatieve AI, genaamd PromptSpy. Dit is de eerste Android-malware die generatieve AI gebruikt in zijn uitvoeringsstroom.
PromptSpy is de allereerste Android-malware die gebruikmaakt van generatieve AI
Deze malware kan lockscreen-gegevens vastleggen, pogingen tot verwijdering blokkeren, apparaatinformatie verzamelen, schermafbeeldingen maken, schermactiviteit opnemen als video en meer. Het is de tweede door AI aangedreven malware waar het bedrijf op stuitte, na PromptLock van vorig jaar. Het was het eerste geval van een AI-aangedreven ransomware.
ESET Onderzoek zegt dat ‘Deze campagne lijkt financieel gemotiveerd’ en het richt zich in de eerste plaats op gebruikers in Argentinië. Het baseert de conclusie met betrekking tot financiële motivatie op aanwijzingen voor taallokalisatie en de distributievectoren.
Gemini wordt gebruikt om PromptSpy te voorzien van stapsgewijze instructies
Dat zegt de bron “Gemini wordt gebruikt om PromptSpy stapsgewijze instructies te geven over hoe je de kwaadaardige app kunt ‘vergrendelen’, dat wil zeggen vastzetten, in de lijst met recente apps (vaak weergegeven door een hangslotpictogram in de multitasking-weergave van veel Android-launchers), waardoor wordt voorkomen dat deze gemakkelijk door het systeem kan worden weggevaagd of gedood.
ESET-onderzoeker Lukáš Štefanko, de persoon die PromptSpy ontdekte, zei: “Aangezien Android-malware vaak afhankelijk is van UI-gebaseerde navigatie, zorgt het gebruik van generatieve AI ervoor dat bedreigingsactoren zich kunnen aanpassen aan vrijwel elk apparaat, elke lay-out of versie van het besturingssysteem, waardoor het aantal potentiële slachtoffers enorm kan toenemen.”
Het belangrijkste doel is om een ingebouwde VNC-module in te zetten, waardoor operators op afstand toegang krijgen tot het apparaat van het slachtoffer. Deze malware maakt ook misbruik van Accessibility Services om de-installatie te blokkeren met onzichtbare overlays, legt gegevens op het vergrendelscherm vast en registreert schermactiviteit als video.
Deze malware is nooit beschikbaar geweest via de Google Play Store
Er wordt ook opgemerkt dat PromptSpy wordt gedistribueerd via een speciale website en nooit beschikbaar is geweest op Google Play. ESET zegt dat het zijn bevindingen met Google heeft gedeeld; echter ondanks het feit dat Android-gebruikers automatisch worden beschermd tegen bekende versies van deze malware door Google Play Protect.
De naam van de app (die deze malware bevat) is ‘MorganArg’ en het pictogram is geïnspireerd door Morgan Chase. De app probeert duidelijk de bank Morgan Chase na te bootsen. MorganArg staat waarschijnlijk voor Morgan Argentina.
De enige manier om het te verwijderen is via de veilige modus
ESET merkte ook op dat de enige manier om van deze app af te komen is door de telefoon op te starten in de veilige modus, omdat de verwijdering ervan anders wordt geblokkeerd.
