ESET đã phát hiện virus đầu tiên dành cho Android sử dụng Google Gemini – PromptSpy

PromptSpy là gì?

Nhà phát triển của công ty ESET đã xác định được một loại phần mềm độc hại mới cho Android, tên gọi PromptSpy. Đây là virus đầu tiên trực tiếp liên hệ với chatbot Google Gemini thông qua API của nó và sử dụng khả năng trí tuệ nhân tạo sinh ra để “gắn bó” vào thiết bị nhiễm.

Cách hoạt động của PromptSpy
1. Kết nối với Gemini

Phần mềm độc hại gửi các yêu cầu đã chuẩn bị trước tới Gemini, nhận được từ đó hướng dẫn từng bước. Nhờ những hướng dẫn này nó phân tích màn hình thiết bị (ví dụ như nhận dạng hình ảnh) và xác định cách để giữ mình trong danh sách ứng dụng gần đây.

2. Cài đặt mô-đun truy cập từ xa

Sau khi người dùng đồng ý cài đặt ứng dụng MorganArg (thực ra là phần mềm độc hại), PromptSpy kết nối với máy chủ được kiểm soát bởi kẻ tấn công và tải phần còn lại của mã. Trong đó có mô-đun mạng ảo (VNC) và yêu cầu truy cập vào dịch vụ hỗ trợ đặc biệt, cho phép điều khiển từ xa thiết bị Android.

3. Bypass các phương pháp gỡ bỏ thông thường

Phần mềm độc hại đặt “hình chữ nhật trong suốt” lên màn hình, chặn các cử chỉ ở vùng quan trọng và làm khó việc buộc kết thúc ứng dụng. Chỉ có thể xóa nó bằng chế độ an toàn, nơi các chương trình bên thứ ba bị tắt.

4. Các chức năng bổ sung

- Khả năng bắt giữ mã PIN khóa màn hình.
- Ghi lại hành động trên màn hình (swipe, nhập văn bản).
- Giả lập tương tác vật lý với thiết bị – như thể người điều khiển đang cầm điện thoại trong tay.

Nguồn gốc và mục tiêu của cuộc tấn công
- Định hướng khu vực: Trang web phishing qua đó PromptSpy được phân phối sử dụng thương hiệu *JPMorgan Chase Argentina*, chỉ ra đối tượng mục tiêu là người dùng ở Argentina.
- Xuất hiện trên mạng: Virus được phát hiện sau khi các mẫu được tải lên nền tảng Google VirusTotal từ Argentina.
- Vết dấu Trung Quốc: Trong mã có những đoạn bằng tiếng Trung, xác nhận giả thuyết rằng phần mềm độc hại được phát triển tại Trung Quốc.

Cách bảo vệ
- Google Play Protect: Theo dữ liệu của ESET, dịch vụ bảo vệ của Google đã chặn PromptSpy, và ứng dụng vẫn chưa xuất hiện trong cửa hàng Play Market.
- Cập nhật hệ điều hành và ứng dụng: Cài đặt các bản cập nhật bảo mật Android mới nhất và chỉ sử dụng nguồn tin cậy để tải phần mềm.
- Thận trọng với quyền truy cập: Không đồng ý cài đặt các ứng dụng không được xác minh, đặc biệt nếu chúng yêu cầu quyền truy cập vào dịch vụ hỗ trợ đặc biệt.

Kết luận
PromptSpy cho thấy một cấp độ mới của tương tác giữa phần mềm độc hại và các dịch vụ trí tuệ nhân tạo sinh ra. Nhờ Gemini, virus có thể thích ứng với bất kỳ thiết bị và hệ điều hành nào, tăng nguy cơ lây nhiễm. Mặc dù việc gỡ bỏ nó gặp khó khăn, chế độ an toàn cho phép loại bỏ, và các cơ chế bảo vệ Google Play Protect đã đảm bảo sự an toàn cho người dùng.