A ESET identificou o primeiro vírus para Android que explora a vulnerabilidade Gemini do Google — o PromptSpy.

A ESET, desenvolvedora de soluções de segurança, anunciou a descoberta do PromptSpy, o primeiro malware para Android que se conecta ao chatbot Gemini do Google para obter acesso a um dispositivo infectado. Acredita-se que seus alvos estejam na Argentina e que o malware tenha sido desenvolvido na China.

Fonte da imagem: welivesecurity.com

O malware é chamado de PromptSpy porque acessa o Gemini por meio de uma API com solicitações predefinidas e instala um módulo no dispositivo infectado que permite acesso remoto. O componente Gemini do malware é relativamente pequeno, observa a ESET, mas desempenha uma função importante: utiliza a tecnologia do Google para interpretar a interface do usuário no dispositivo infectado. “O Gemini, em particular, é usado para analisar a imagem na tela infectada e fornecer ao PromptSpy instruções passo a passo sobre como manter o malware na lista de aplicativos recentes, impedindo assim que ele seja facilmente removido ou encerrado usando ferramentas do sistema. Aplicativos maliciosos para Android frequentemente navegam pela interface do usuário, e a conexão com inteligência artificial generativa permite que os invasores se adaptem a praticamente qualquer dispositivo, layout ou versão do sistema operacional, expandindo potencialmente o número de vítimas em potencial”, afirma o relatório da ESET.

O desenvolvedor rastreou a rota do malware até um site de phishing que distribuía o PromptSpy por meio de um domínio associado ao principal. Ambos os recursos estavam offline no momento da descoberta, mas foram encontradas evidências de que os sites usavam a marca JPMorgan Chase Argentina, indicando um foco regional para o ataque. Os especialistas da ESET descobriram o PromptSpy depois que amostras do vírus foram enviadas da Argentina para a plataforma de testes de malware VirusTotal do Google. Durante a fase inicial do ataque, o usuário é solicitado a conceder permissão para instalar o MorganArg, que na verdade é um aplicativo malicioso. Se essa permissão for concedida,O dispositivo então se conecta a um servidor controlado pelo atacante para instalar o restante do malware. O kit inclui um módulo de Computação em Rede Virtual, que solicita acesso ao serviço de Acessibilidade, permitindo que o cibercriminoso acesse remotamente o dispositivo Android infectado.

“Isso permite que os operadores do malware vejam tudo o que acontece no dispositivo, toquem, deslizem, executem comandos por gestos e insiram texto como se estivessem segurando o smartphone fisicamente”, explicou a ESET, acrescentando que o malware também pode interceptar o PIN de bloqueio de tela e gravar a atividade na tela. Removê-lo não é fácil — o PromptSpy sobrepõe “retângulos transparentes” invisíveis em certas áreas da tela e bloqueia os comandos de toque ao tentar desinstalar ou forçar a parada de um aplicativo. “A única maneira de removê-lo é reiniciar o dispositivo no modo de segurança, onde os aplicativos de terceiros são desativados e desinstalados normalmente”, explicaram os especialistas.

O código do PromptSpy contém fragmentos em chinês, sugerindo a origem do vírus. A ESET ainda não viu amostras do bootloader ou do payload — é possível que o malware esteja sendo usado como demonstração. A ESET ainda não detectou nenhum aplicativo infectado com o PromptSpy na Google Play Store, e o Google Play Protect oferece proteção suficiente contra ele.