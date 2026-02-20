Oprogramowanie otrzymało nazwę PromptSpy i według firmy ESET wywodzi się od innej rodziny malware o nazwie VNCSpy. Co jest w nim takiego wyjątkowego? Jest to pierwsze albo jedno z pierwszych złośliwych oprogramowań na Androida, które w trakcie działania wykorzystuje generatywną AI, a konkretnie - co wydaje się trochę absurdalne - model Google Gemini.

Dalsza część tekstu pod wideo

PromptSpy malware na Androida

Jak malware wykorzystuje Gemini? W nietypowy sposób. Na niektórych telefonach można przypiąć aplikacje na liście ostatnio używanych. W ten sposób Android nie usuwa jej w momencie, w której masowo wyłączamy wszystkie apki i nadal działa ona w tle.

Rzecz w tym, że metoda na przypinanie aplikacji różni się w zależności od producenta telefonu. No i właśnie w tym celu PromptSpy robi zrzut ekranu w formie XML i wysyła go do Gemini. Ten następnie przesyła mu w odpowiedzi instrukcje w formacie JSON, jak dokonać przypięcia aplikacji. Malware je wykonuje, dzięki uprawnieniom w ramach usługi ułatwień dostępu systemu Android. Następnie znowu przesyła zapytanie do AI, aby potwierdzić, że proces zakończył się powodzeniem.

Według firmy ESET złośliwe oprogramowanie może:

Przesyłać listę zainstalowanych aplikacji.

Przechwytywać kody PIN lub hasła blokady ekranu.

Nagrywać wzór odblokowania ekranu w formie wideo.

Wykonuje zrzuty ekranu na żądanie.

Rejestrować aktywność ekranu i gesty użytkownika.

Zgłaszać aktualną aplikację działającą w tle i status ekranu.

To daje ogromne możliwości, które pozwalają na przejmowanie kont w mediach społecznościowych, aplikacjach oraz różnych usługach, a także potencjalnie może prowadzić do wyczyszczenia konta bankowego.