Cercetătorii ESET avertizează asupra PromptSpy, un virus Android care se deghizează în aplicaţie bancară.

Malware-ul imită serviciile JPMorgan Chase pentru a inspira încredere victimelor. Este primul virus Android care foloseşte inteligenţă artificială în timp real, potrivit ESET, citat de Cybersecurity360.it.

Odată descărcat, virusul lansează automat o pagină web. Aceasta se prezintă fraudulos ca un serviciu al băncii JPMorgan Chase, sub numele „MorganArg”. Exploatează autoritatea mărcii bancare pentru a câştiga încrederea utilizatorului.

Dropperul solicită apoi victimei permisiunea de a instala aplicaţii din surse necunoscute. Odată acordată, instalează automat virusul, completând lanţul de infecţie.

PromptSpy preia controlul complet al dispozitivului. Un modul VNC permite atacatorilor să vadă şi să controleze ecranul de la distanţă. Poate face capturi de ecran, înregistra videoclipuri şi colecta date de pe ecranul de blocare, inclusiv coduri PIN şi parole.

Comunicaţiile cu serverul atacatorilor sunt criptate AES, îngreunând detectarea.

Virusul suprapune elemente invizibile peste ecran. Orice tentativă de dezinstalare este blocată. PromptSpy foloseşte modelul Gemini al Google pentru a interpreta interfaţa telefonului în timp real.

Trimite modelului structura ecranului şi primeşte instrucţiuni despre cum să acţioneze. Se adaptează la orice dispozitiv, fără a necesita actualizări de cod.

„Utilizarea IA generative permite atacatorilor să se adapteze la orice dispozitiv, layout sau versiune de sistem de operare", avertizează cercetătorul ESET Lukas Stefanko. Dacă această abordare ar deveni larg răspândită, ne-am putea confrunta cu malware capabile să-şi modifice comportamentul în timp real, adaptându-se la schimbările din mediul de operare.

PromptSpy nu este disponibil pe Google Play. Instalaţi aplicaţii doar din surse oficiale, transmit cei de la ESET.

Google Play Protect detectează versiunile cunoscute ale virusului şi este activ implicit pe dispozitivele Android.