A ESET descobriu o primeiro vírus para Android que utiliza o Google Gemini – PromptSpy

O que é o PromptSpy?

Os desenvolvedores da ESET identificaram um novo malware para Android chamado PromptSpy. É o primeiro vírus que acessa diretamente o chatbot Google Gemini através de sua API e utiliza as capacidades de IA generativa para “se fixar” no dispositivo infectado.

Como funciona o PromptSpy
1. Conexão com o Gemini

O malware envia solicitações pré-preparadas ao Gemini, recebendo instruções passo a passo. Com essas instruções ele analisa a tela do dispositivo (por exemplo, reconhecendo imagens) e determina como permanecer na lista de aplicativos recentes.

2. Instalação de um módulo de acesso remoto

Depois que o usuário concorda em instalar o aplicativo MorganArg (na prática – malware), o PromptSpy se conecta ao servidor controlado pelos atacantes e baixa a parte restante do código. Nele há um módulo VNC e solicitações de acesso ao serviço de acessibilidade, permitindo controle remoto do dispositivo Android.

3. Evitação dos métodos comuns de remoção

O malware sobrepõe “retângulos transparentes” na tela, bloqueando toques em áreas críticas e dificultando o encerramento forçado do aplicativo. Ele só pode ser removido via modo de segurança, onde aplicativos de terceiros são desativados.

4. Funcionalidades adicionais

- Capacidade de interceptar códigos PIN de bloqueio da tela.
- Gravação das ações na tela (deslizes, digitação).
- Imitação de interação física com o dispositivo – como se um operador segurasse o telefone.

Origem e objetivo do ataque
- Direcionamento regional: O site de phishing que distribuía o PromptSpy usava a marca *JPMorgan Chase Argentina*, indicando o público-alvo – usuários da Argentina.
- Aparição na rede: O vírus foi detectado depois que amostras foram carregadas da Argentina para a plataforma Google VirusTotal.
- Traços chineses: O código contém fragmentos em chinês, confirmando a hipótese de desenvolvimento do malware na China.

Como se proteger
- Google Play Protect: Segundo a ESET, o serviço de proteção do Google já bloqueia o PromptSpy, e o aplicativo ainda não aparece na Play Store.
- Atualizações de SO e aplicativos: Instale as últimas atualizações de segurança do Android e use apenas fontes confiáveis para baixar programas.
- Cuidado com permissões: Não aceite solicitações de instalação de aplicativos desconhecidos, especialmente se pedirem acesso a serviços de acessibilidade.

Conclusão
O PromptSpy demonstra um novo nível de interação entre malware e serviços de IA generativa. Com o Gemini, o vírus pode adaptar-se a qualquer dispositivo e SO, aumentando o risco de infecção. Embora sua remoção seja difícil, o modo seguro permite eliminá‑lo, e os mecanismos integrados do Google Play Protect já garantem proteção aos usuários.