2 月 20 日消息,网络安全公司 ESET 研究人员发现 PromptSpy,这是首款在运行时(Runtime)直接集成生成式 AI 的安卓恶意软件。
注:Runtime 指软件正在运行的那个时间段。本文中指恶意软件在手机上运行的过程中,实时连接 AI 进行思考和决策,而不是在出厂前就把所有代码写死。
与以往仅利用 AI 生成代码或诈骗文案不同,PromptSpy 调用谷歌 Gemini 模型,来实时调整其在受感染设备上的行为。
根据 ESET 的遥测数据,该恶意软件的首个版本(VNCSpy)于 2026 年 1 月出现,随后的进阶版本 PromptSpy 于 2 月被上传至 VirusTotal。
PromptSpy 引入 AI 的核心目的在于解决“持久化”难题。由于不同品牌的安卓设备在“最近任务”列表中锁定(Pin)应用的操作逻辑各异,传统脚本难以通用。
PromptSpy 为突破此限制,采取了“视觉分析 + 指令反馈”的策略:它将当前屏幕的 XML 数据(含 UI 元素、坐标)发送给 Google Gemini,要求 AI 分析并返回 JSON 格式的操作指令。
恶意软件随后通过安卓无障碍服务(Accessibility Service)执行点击操作,循环直至 AI 确认应用已被成功锁定,从而避免被系统后台清理。
该恶意软件内置 VNC 模块,一旦获取无障碍权限,攻击者即可完全远程控制受害者设备。ESET 指出,PromptSpy 能够实时查看屏幕、上传已安装应用列表、窃取锁屏 PIN 码或密码、录制解锁图案视频,甚至按需截屏和记录用户手势,导致受害者隐私完全暴露。
为对抗用户移除,PromptSpy 设计了狡猾的防御机制。当检测到用户试图卸载应用或关闭无障碍权限时,恶意软件会生成透明的隐形矩形覆盖在“停止”、“结束”、“清除”或“卸载”等系统按钮上。
用户以为点击了卸载按钮,实际上点击的是无效的隐形图层,从而导致卸载操作失败。研究人员建议,受害者需进入安卓安全模式才能有效禁用并移除该恶意软件。
在传播方面,研究人员发现了专门的分发域名(mgardownload [.]com)以及伪装成摩根大通银行(JPMorgan Chase Bank)的钓鱼网页,这暗示该恶意软件可能已被用于实际攻击。
