ESET hat den ersten Virus für Android entdeckt, der Google Gemini – PromptSpy verwendet

Was ist PromptSpy?

Die Entwickler des Unternehmens ESET haben einen neuen Android-Bedrohungsprogramm entdeckt, das PromptSpy genannt wird. Es ist der erste Virus, der direkt auf den Google Gemini Chatbot über seine API zugreift und die Möglichkeiten generativer KI nutzt, um sich „festzuhalten“ auf dem infizierten Gerät.

Wie funktioniert PromptSpy
1. Verbindung zu Gemini

Der Malware sendet vorgefertigte Anfragen an Gemini und erhält Schritt-für-Schritt-Anweisungen. Mit diesen Anweisungen analysiert er den Bildschirm des Geräts (zum Beispiel erkennt er Bilder) und bestimmt, wie er sich in der Liste der zuletzt verwendeten Apps verankern kann.

2. Installation eines Remote‑Access-Moduls

Sobald der Benutzer zustimmt, die Anwendung MorganArg zu installieren (in Wirklichkeit Malware), verbindet sich PromptSpy mit einem vom Angreifer kontrollierten Server und lädt den restlichen Code herunter. Dort ist ein virtuelles Netzwerkmodul (VNC) implementiert sowie Anfragen zum Zugriff auf Hilfsdienste, was eine Fernsteuerung des Android-Geräts ermöglicht.

3. Umgehung üblicher Deinstallationsmethoden

Die Malware legt „durchsichtige Rechtecke“ über den Bildschirm, blockiert Berührungen in kritischen Bereichen und erschwert das erzwungene Beenden der Anwendung. Sie kann nur im abgesicherten Modus entfernt werden, wo Drittanbieterprogramme deaktiviert sind.

4. Zusätzliche Funktionen

- Möglichkeit, PIN‑Codes zum Sperren des Bildschirms abzufangen.
- Aufzeichnung von Bildschirmaktionen (Swipes, Texteingabe).
- Simulation physischer Interaktion mit dem Gerät – als ob ein Operator das Telefon in den Händen hält.

Herkunft und Ziel der Attacke
- Regionale Ausrichtung: Die Phishing‑Website, über die PromptSpy verbreitet wurde, nutzte die Markenführung *JPMorgan Chase Argentina* und zielte auf Nutzer aus Argentinien.
- Auftreten im Netz: Der Virus wurde entdeckt, nachdem Muster aus Argentinien auf die Google VirusTotal-Plattform hochgeladen wurden.
- Chinesische Spuren: Im Code sind chinesische Textfragmente vorhanden, was die Annahme bestätigt, dass die Malware in China entwickelt wurde.

Wie man sich schützt
- Google Play Protect: Laut ESET blockiert der Schutzdienst von Google PromptSpy bereits und die Anwendung ist derzeit nicht im Play‑Market verfügbar.
- Betriebssystem‑ und App‑Updates: Installieren Sie die neuesten Sicherheitsupdates für Android und nutzen Sie nur vertrauenswürdige Quellen zum Herunterladen von Software.
- Vorsicht bei Berechtigungen: Stimmen Sie nicht zu, wenn unüberprüfte Anwendungen installiert werden sollen, insbesondere wenn sie Zugriff auf Hilfsdienste verlangen.

Fazit
PromptSpy demonstriert ein neues Niveau der Interaktion von Malware mit generativen KI‑Diensten. Durch Gemini kann sich der Virus an jedes Gerät und Betriebssystem anpassen, was das Infektionsrisiko erhöht. Obwohl die Entfernung erschwert ist, ermöglicht der abgesicherte Modus eine Bereinigung, und die eingebauten Mechanismen von Google Play Protect schützen Benutzer bereits.