Как защитить вирус от владельца смартфона? Хакеры заставили ИИ читать экран и блокировать попытки удалить приложение

Исследователи ESET описали первый известный случай, когда вредонос для Android использует генеративный ИИ не для безобидных текстов и картинок, а как инструмент для управления интерфейсом телефона. Это семейство андроид-вредоносов PromptSpy. В нём Google Gemini выступает как навигатор по экрану: модель получает текущее содержимое интерфейса и выдаёт последовательность действий, что нажать и куда перейти.

Раньше машинное обучение в андроид-вредоносах уже применяли, но в других задачах. Например, троян Android.Phantom с моделями TensorFlow анализировал скриншоты рекламы и автоматически нажимал на найденные элементы, чтобы крутить рекламное мошенничество в больших объёмах. PromptSpy устроен иначе. Он не полагается на фиксированные координаты и не пытается найти нужную кнопку по жёстким правилам. Вместо этого вредонос отправляет модели описание того, что сейчас на экране, и получает инструкцию, как выполнить нужное действие именно в этой раскладке меню.

Генеративный ИИ в PromptSpy задействован не повсюду, а в одной конкретной части, которая отвечает за закрепление в системе. Задача простая: сделать так, чтобы вредоносное приложение оставалось закреплённым в списке недавних приложений. Тогда его нельзя будет просто смахнуть, а системе будет сложнее завершить процесс. Для Android это важно, потому что многие вредоносные сценарии ломаются именно в момент, когда пользователь закрывает подозрительное окно или система выгружает приложение из памяти.

Механика закрепления выглядит так. В коде заранее прописаны и сама модель, и текст запроса к ней, менять их на ходу нельзя. Вредонос через сервис специальных возможностей Android снимает текущее состояние интерфейса и получает XML-дамп с элементами экрана: текстами, типами, описаниями и координатами. Этот XML уходит в Gemini, а ответ приходит в виде JSON-инструкций: куда нажать, где удержать, куда провести пальцем и с какой длительностью. Дальше вредонос выполняет действие через тот же сервис специальных возможностей, снова снимает состояние экрана и отправляет обновлённые данные модели. Цикл продолжается до тех пор, пока модель не подтвердит, что приложение действительно закреплено в списке недавних.

Такой подход даёт гибкость, потому что Android-устройства сильно отличаются. Жест и меню, через которые включается закрепление приложения в недавних, зависят от производителя, оболочки и версии системы. Скрипты с заранее заданными координатами легко ломаются: меняется размер экрана, перестраивается меню, кнопка оказывается в другом месте. Если же решение подсказывает модель, вредонос может подстроиться под разные устройства и разные варианты интерфейса, просто получая очередной снимок экрана и следующую инструкцию.

Основная цель PromptSpy при этом не связана с ИИ. Вредонос разворачивает встроенный модуль VNC, то есть удалённый просмотр экрана и управление устройством. Такой режим используют администраторы для поддержки, но здесь он превращается в полноценный удалённый доступ к телефону жертвы. После того как пользователь включает сервис специальных возможностей, оператор видит всё, что происходит на экране, и может нажимать, листать, вводить текст и открывать приложения так, будто держит телефон в руках.

Связь с управляющим сервером идёт по протоколу VNC, а данные шифруются AES. Адрес сервера в образцах прописан напрямую: 54.67.2[.]84. Через этот канал вредонос может получить ключ доступа к API Gemini, отправить список установленных приложений, перехватить данные экрана блокировки (PIN или пароль), записать видео с попытками ввода графического ключа, сообщить, включён ли экран, и какое приложение сейчас открыто. Также он умеет делать скриншоты по запросу и записывать экран и жесты пользователя в тех приложениях, которые укажет оператор.

Отдельно описан механизм, который мешает удалению. PromptSpy использует сервис специальных возможностей как защиту от удаления. Когда пользователь пытается удалить приложение или отключить ему доступ к специальным возможностям, вредонос накладывает на нужные участки экрана прозрачные прямоугольники. Они не видны, но перехватывают нажатия, особенно в местах, где находятся кнопки со словами stop, end, clear, Uninstall. В итоге человек нажимает на кнопку, но действие не срабатывает. В таком виде обычное удаление становится крайне трудным.

В исследовании описан практический способ обойти такую блокировку: перезагрузить устройство в безопасном режиме, где сторонние приложения не запускаются, и удалить вредонос уже там через настройки. Точный способ включения безопасного режима зависит от производителя, но обычно это выглядит так: удержать кнопку питания, затем долгим нажатием выбрать выключение и подтвердить перезапуск в безопасном режиме, после чего удалить приложение из списка установленных.

История PromptSpy раскладывается по версиям и по датам. В феврале 2026 года нашли две версии ранее неизвестного семейства. Более ранний вариант, который назвали VNCSpy, появился на VirusTotal 13 января 2026 года, там было три образца, загруженных из Гонконга. 10 февраля 2026 года на VirusTotal попали четыре более продвинутых образца, загруженных из Аргентины. Именно в этой ветке нашли многоступенчатую схему с загрузчиком и полезной нагрузкой, где полезная нагрузка использует Gemini для закрепления в системе. Поэтому загрузчик назвали PromptSpy dropper, а основной модуль, который он ставит, – PromptSpy.

Способ распространения тоже описан достаточно прямо. Вредонос распространяли не через Google Play. Для раздачи использовался отдельный сайт mgardownload[.]com, но на момент анализа он уже не работал. После установки и запуска загрузчик открывал веб-страницу на домене m-mgarg[.]com, он тоже был отключён. По кэшированной версии страницы исследователи пришли к выводу, что сайт имитировал страницу банка Chase и был рассчитан на испаноязычную аудиторию. Это же видно по оформлению приложения: оно называлось MorganArg, а иконка была стилизована под Chase. Название похоже на сокращение от Morgan Argentina, что укладывается в версию о прицельной кампании.

Дальше нашли ещё один образец, который показывал ту же поддельную страницу с испанским интерфейсом и кнопкой Iniciar sesión. Этот троян, судя по поведению, запрашивал с сервера конфигурацию и предлагал жертве скачать ещё один APK под видом обновления. Сервер на момент анализа был недоступен, поэтому точную ссылку восстановить не удалось. Но совпали признаки, которые сложно списать на случайность: тот же фейковый банковский сайт, то же имя и иконка приложения и одинаковый сертификат подписи разработчика. Поэтому есть основания считать, что этот троян мог быть первой ступенью, которая подводит пользователя к установке загрузчика PromptSpy.

Есть и деталь про происхождение разработки. В образцах нашли отладочные строки на упрощённом китайском, а также обработку событий сервиса специальных возможностей с китайскими пояснениями. Отладочный метод был выключен, но его оставили в коде. По совокупности этих следов авторы считают вероятным, что разработка велась в китайскоязычной среде, хотя по локализации и цепочке доменов кампания выглядела ориентированной на Аргентину и финансовую выгоду.

При этом в телеметрии ESET пока нет следов реального распространения PromptSpy. Образцы не встречались в потоке детектов, поэтому возможно, что речь о демонстрационном прототипе или ограниченном тесте. С другой стороны, наличие домена для распространения и связанной фишинговой инфраструктуры намекает, что схему могли готовить как рабочую кампанию.

О находке сообщили Google. Отдельно отмечается, что известные версии PromptSpy блокируются Google Play Protect, он включён по умолчанию на устройствах с Google Play Services. Но сам приём важнее конкретного семейства. Генеративная модель здесь решает одну узкую задачу, но этого хватает, чтобы обойти слабое место многих андроид-вредоносов: зависимость от того, как именно выглядит меню на конкретном телефоне. Вместо хрупких сценариев с заранее прописанными шагами злоумышленники дают модели описание экрана и получают инструкции, которые работают на разных оболочках и разных версиях системы.