Εντοπίστηκε από την ESET το PromptSpy, η πρώτη καταγεγραμμένη απειλή στο Android που ενσωματώνει παραγωγική AI απευθείας στον κώδικά της.Αξιοποιεί το AI μοντέλο Gemini της Google για να «διαβάζει» την οθόνη και να προσαρμόζει δυναμικά τη συμπεριφορά του, μπλοκάροντας τη διαγραφή του.Προσφέρει στους hackers πλήρη απομακρυσμένο έλεγχο μέσω VNC, κλέβει PINs, και καταγράφει βίντεο κατά το ξεκλείδωμα της συσκευής.Η αφαίρεσή του είναι εξαιρετικά δύσκολη στο κανονικό περιβάλλον χρήσης και απαιτεί υποχρεωτικά εκκίνηση του τηλεφώνου σε Safe Mode.
Η είσοδος της Τεχνητής Νοημοσύνης στα λειτουργικά συστήματα θεωρείται πλέον δεδομένη, όμως η επόμενη μέρα της κυβερνοασφάλειας μόλις έγινε πολύ πιο περίπλοκη. Η ομάδα ερευνητών της ESETανακάλυψε το PromptSpy, ένα νέο κακόβουλο λογισμικό (malware) για Android το οποίο διαφοροποιείται εντελώς από ό,τι έχουμε δει μέχρι σήμερα.
Δεν περιορίζεται σε στατικές εντολές, αλλά ενσωματώνει την παραγωγική AI – συγκεκριμένα το Gemini της Google – για να λαμβάνει αποφάσεις σε πραγματικό χρόνο. Δεν μιλάμε απλώς για έναν «ιό» που υποκλέπτει δεδομένα, αλλά για ένα παρασιτικό εργαλείο που σκέφτεται, διαβάζει το περιβάλλον του τηλεφώνου και βρίσκει μόνο του τρόπους να παραμένει ενεργό.
Μέχρι σήμερα, τα Android trojans βασίζονταν σε προκαθορισμένες συντεταγμένες οθόνης για να κάνουν κλικ και να πάρουν αυθαίρετα δικαιώματα προσβασιμότητας (Accessibility Services). Το μόνιμο πρόβλημα των hackers; Το Android έχει τεράστιο κατακερματισμό. Τα μενού ενός Galaxy S26 με One UI είναι εντελώς διαφορετικά από ένα Xiaomi 15 με HyperOS.
Εδώ ακριβώς εντοπίζεται η τεράστια καινοτομία του PromptSpy. Το malware αναλύει τα στοιχεία του περιβάλλοντος χρήσης (UI) στο εκάστοτε τηλέφωνο και στέλνει τα δεδομένα στο Gemini AI. Το μοντέλο της Google επεξεργάζεται την εικόνα και επιστρέφει στους επιτιθέμενους οδηγίες βήμα προς βήμα για το πού ακριβώς πρέπει να γίνει “tap” ή “swipe” ώστε η κακόβουλη εφαρμογή να παραμείνει στη λίστα των πρόσφατων (Recent Apps) και να αποτραπεί η απεγκατάστασή της. Δημιουργείται έτσι ένας συνεχής βρόγχος ανατροφοδότησης (feedback loop): Το malware στέλνει την οθόνη στο Gemini, περιμένει οδηγίες, τις εκτελεί και επιστρέφει το νέο αποτέλεσμα, μέχρι η AI να επιβεβαιώσει πως το σύστημα παραβιάστηκε επιτυχώς.
Παράλληλα, το PromptSpy ενσωματώνει πρωτόκολλο VNC με ισχυρή κρυπτογράφηση AES, επικοινωνώντας με έναν hardcoded server (εντοπίστηκε στην IP 54.67.2.84). Αυτό επιτρέπει στους hackers να βλέπουν την οθόνη του θύματος ζωντανά, να καταγράφουν βίντεο την ώρα που εισάγετε το μοτίβο ή το PIN σας, και να ανεβάζουν λίστες με τις εφαρμογές σας.
Στην πράξη, αν η συσκευή σας μολυνθεί, η εμπειρία είναι εκνευριστική και τρομακτική ταυτόχρονα. Προσπαθείτε να ανοίξετε τις ρυθμίσεις για να διαγράψετε την εφαρμογή (η οποία μεταμφιέζεται ως δήθεν update) και βλέπετε την οθόνη να κλείνει ακαριαία το μενού ή να κάνει tap αλλού από μόνη της.
Το PromptSpy δεν είναι απλώς άλλη μια είδηση για malware, αλλά ένα «preview≥ της επόμενης δεκαετίας στο κυβερνοέγκλημα. Αυτό που μας προβληματίζει έντονα είναι η εργαλειοποίηση των Large Language Models (όπως το Gemini) για την παράκαμψη των εμποδίων του ίδιου του λειτουργικού συστήματος της Google. Όταν μια απειλή δεν βασίζεται σε άκαμπτο κώδικα αλλά προσαρμόζεται έξυπνα σαν να κρατάει τη συσκευή ένας αόρατος χρήστης, η παραδοσιακή προστασία αποτυγχάνει. Αν το Google Play Protect δεν γίνει άμεσα εξίσου «ευφυές» με τα εργαλεία που χρησιμοποιούν οι hackers, ο μέσος χρήστης θα βρεθεί εντελώς απροστάτευτος.