Μια νέα, ιδιαίτερα ανησυχητική εξέλιξη στον χώρο της κυβερνοασφάλειας φέρνει στο φως η ESET Research, η οποία εντόπισε το PromptSpy, το πρώτο γνωστό κακόβουλο λογισμικό για Android, που αξιοποιεί γενετική τεχνητή νοημοσύνη στη ροή εκτέλεσής του. Πρόκειται για την πρώτη καταγεγραμμένη περίπτωση, όπου ένα malware ενσωματώνει τεχνολογία generative AI με λειτουργικό τρόπο μέσα στον ίδιο τον κώδικα του, ανοίγοντας μια νέα σελίδα στις τεχνικές, που μπορούν να χρησιμοποιήσουν οι κυβερνοεγκληματίες.

Νέα απειλή χρησιμοποιεί το μοντέλο Gemini της Google για να προσαρμόζεται στις συσκευές και να δυσκολεύει την αφαίρεσή της

Η νέα απειλή βασίζεται σε προτροπές προς μοντέλο τεχνητής νοημοσύνης - συγκεκριμένα το Gemini της Google - προκειμένου να χειραγωγεί τη διεπαφή χρήστη των συσκευών Android και να προσαρμόζει τη συμπεριφορά της. Από αυτήν τη λειτουργία προέκυψε και η ονομασία της οικογένειας κακόβουλου λογισμικού, PromptSpy.

Η ανακάλυψη αυτή ακολουθεί ένα ακόμη περιστατικό, που είχε εντοπίσει η ESET τον Αύγουστο του 2025, όταν καταγράφηκε το PromptLock, το πρώτο γνωστό ransomware, που αξιοποιούσε τεχνητή νοημοσύνη. Το PromptSpy αποτελεί, πλέον, τη δεύτερη καταγεγραμμένη περίπτωση κακόβουλου λογισμικού, που ενσωματώνει τεχνολογίες AI, υπογραμμίζοντας την ταχεία εξέλιξη των κυβερνοαπειλών.

Πώς λειτουργεί το νέο κακόβουλο λογισμικό

Το PromptSpy διαθέτει ένα ευρύ σύνολο δυνατοτήτων, που του επιτρέπουν να αποκτά εκτεταμένο έλεγχο της συσκευής του θύματος. Μεταξύ άλλων, μπορεί να συλλέγει δεδομένα από την οθόνη κλειδώματος, να καταγράφει στιγμιότυπα οθόνης, να καταγράφει τη δραστηριότητα της οθόνης σε μορφή βίντεο και να συλλέγει πληροφορίες για τη συσκευή.

Παράλληλα, διαθέτει μηχανισμούς, που δυσκολεύουν την αφαίρεση του από το σύστημα. Το κακόβουλο λογισμικό χρησιμοποιεί τις Υπηρεσίες Προσβασιμότητας του Android και αόρατα overlays στην οθόνη, ώστε να εμποδίζει τις προσπάθειες απεγκατάστασης της εφαρμογής από τον χρήστη.

Κεντρικός στόχος του PromptSpy είναι η ανάπτυξη ενός ενσωματωμένου module VNC, το οποίο επιτρέπει στους χειριστές του να αποκτούν απομακρυσμένη πρόσβαση στη συσκευή του θύματος. Μέσω αυτής της λειτουργίας, οι επιτιθέμενοι μπορούν να ελέγχουν τη συσκευή από απόσταση και να παρακολουθούν τη δραστηριότητα της οθόνης.

Η επικοινωνία με τον διακομιστή Command & Control πραγματοποιείται μέσω κρυπτογράφησης AES, γεγονός που καθιστά πιο δύσκολο τον εντοπισμό και την ανάλυση της κακόβουλης δραστηριότητας.

Ο ρόλος της γενετικής τεχνητής νοημοσύνης

Αν και η γενετική τεχνητή νοημοσύνη χρησιμοποιείται σε σχετικά μικρό μέρος του κώδικα του PromptSpy, η συμβολή της είναι ιδιαίτερα σημαντική. Η τεχνολογία AI αξιοποιείται, κυρίως, στο τμήμα του κακόβουλου λογισμικού, που αφορά την ανθεκτικότητα και τη δυνατότητα παραμονής στη συσκευή.

Συγκεκριμένα, το μοντέλο Gemini χρησιμοποιείται για να παρέχει στο malware οδηγίες σχετικά με το πώς να «κλειδώσει» την εφαρμογή στη λίστα των πρόσφατων εφαρμογών. Η πρακτική αυτή - γνωστή ως pinning - εμφανίζεται συχνά με εικονίδιο λουκέτου στην προβολή πολλαπλών εργασιών των Android launchers και καθιστά δυσκολότερη την αφαίρεση ή τον τερματισμό της εφαρμογής από το σύστημα.

Το μοντέλο τεχνητής νοημοσύνης και η σχετική προτροπή είναι ενσωματωμένα στον κώδικα και δεν μπορούν να τροποποιηθούν, γεγονός που σημαίνει ότι η λειτουργία αυτή είναι προκαθορισμένη από τους δημιουργούς του κακόβουλου λογισμικού.

Όπως εξηγεί η ESET, η χρήση generative AI μπορεί να επιτρέψει στους επιτιθέμενους να προσαρμόζονται σε σχεδόν οποιαδήποτε συσκευή, διάταξη ή έκδοση λειτουργικού συστήματος. Αυτό αυξάνει σημαντικά τον αριθμό των πιθανών θυμάτων, καθώς το κακόβουλο λογισμικό μπορεί να λειτουργήσει σε πολύ διαφορετικά περιβάλλοντα Android.