Sicherheitsforscher haben eine neue Variante von Malware für Android identifiziert, die zum ersten Mal nach Analytikern ein generatives Modell künstlicher Intelligenz in seine Laufkette integriert, um Persistenz im Gerät zu erreichen. Die Show, getauft wie In den Warenkorb von der Firma ESET, nicht nur auf den Benutzer spionieren: es nutzt die Fähigkeit des Modells, Schnittstellen zu interpretieren und spezifische Anweisungen zurückzugeben, die der Trojaner selbst durch die Zugänglichkeitsdienste des Systems führt.
Der Mechanismus stört in seiner betrieblichen Einfachheit. Die Malware enthält sowohl die Modellkennung als auch eine erste Anweisung, die der IA die Rolle des Automatisierungsassistenten zuordnet. In Laufzeit nimmt es einen strukturierten Snapshot des Bildschirms - einen XML-Flip, der jedes Element der Schnittstelle beschreibt, seinen Typ, Text und Position - und sendet es an den generativen Dienst. Die Antwort, die sie erhält, ist kein Text, der für den Menschen gedacht ist, sondern eine Reihe von Indikationen im JSON-Format, die angeben, welche Aktion zu tun ist (z.B. klicken Sie auf eine bestimmte Koordinaten) und wo.
Mit diesem Feedback kann ProptSpy Menüs durchsuchen, Berechtigungen akzeptieren, auf der Liste der neuesten Anwendungen gesetzt und eine Folge von Interaktionen anwenden, bis die bösartige Anwendung verankert und schwer zu schließen ist. All dies geschieht ohne Benutzerpulsationen, da die Ausführung von Aktionen durch Zugänglichkeitsdienste erfolgt, die Interaktionen in der Schnittstelle simulieren.
Ziel des Projekts ist es, dem Angreifer den vollen Fernzugriff zu geben. Die Software enthält ein VNC-Modul, das eine Tür öffnet, um den Gerätebildschirm zu steuern und Video zu übertragen. Darüber hinaus hat es die Möglichkeit, den Bildschirm zu erfassen, Sperrdaten abzufangen (z.B. Muster oder Eingabe auf den PIN-Bildschirm), die Aktivität aufzuzeichnen und auf Wunsch des Befehls- und Steuerservers Fänge zu nehmen. Der C2-Server, der beobachtet wurde, liefert gegebenenfalls auch den Gemini-API-Schlüssel, den Malware verwendet, um mit dem Modell zu kommunizieren.
Die Kampagne, nach forensischer Analyse, verteilt ihre Anwendungen nicht über Google Play: Es wird durch eine dedizierte Website, die als Dropper fungiert, gefördert. Der Installer öffnet eine Seite, die einen Bankdienst durchläuft, in diesem Fall mit Verweisen auf ein Unternehmen namens "MorganArg" auf Zielnutzer in Argentinien, und fordert den Benutzer, die Installation von unbekannten Ursprüngen zu aktivieren, um die bösartige APK herunterladen zu können. Während seiner Ausführung konsultiert der Dropper einen Server, der die URL der nächsten Nutzlast bereitstellen sollte, obwohl zum Zeitpunkt der Studie, dass der Server nicht mehr reagiert.
Sprachzeichen und Verteilungsvektoren weisen auf eine finanzielle Motivation und eine Präferenz für Ziele in Argentinien hin, obwohl es auch Anzeichen dafür gibt, dass die Entwicklung in einem chinesischsprachigen Umfeld aufgetreten ist: die Binäre enthalten vereinfachte chinesische Reinigungsketten. Darüber hinaus ist ESET der Auffassung, dass ProptSpy eine anspruchsvollere Evolution einer früheren Familie ist, die kürzlich auf Plattformen wie VirusTotal entdeckt wurde.
Aus technischer Sicht ist die relevante Neuheit, wie die Angreifer zwei bisher unabhängige Elemente kombiniert haben: die Verwendung von Zugänglichkeitsdiensten - eine bekannte Android-Technik, um Interaktionen zu automatisieren - mit der Fähigkeit der generativen Modelle, die Struktur eines Bildschirms zu interpretieren und präzise Schritte zu entscheiden, je nachdem,. Das Ergebnis ist eine flexiblere Malware, die an verschiedene Versionen des Systems und verschiedene Schnittstellen-Designs angepasst werden kann, etwas, das es schwieriger macht, sich mit statischen Signaturen oder Regeln zu verteidigen, die feste Interaktionsströme annehmen.
Für Anwender ist die praktische Empfehlung klar: Installieren Sie niemals Anwendungen aus nicht verifizierten Quellen und vertrauen Sie Links oder Installateure, die Bankaktualisierungen oder kritische Dienste simulieren. Wenn eine bösartige App in der Lage ist, die Deinstallation durch unsichtbare Überlappungen zu blockieren, ist die zuverlässigste Möglichkeit, das Gerät sicher neu zu starten - eine Option, die Drittanbieter-Apps deaktiviert und ermöglicht, sie zu entfernen. Google beschreibt den Prozess, um den sicheren Modus auf dieser offiziellen Support-Seite einzugeben: Starten Sie das Gerät im sicheren Modus.
Es ist auch ratsam, das Betriebssystem und die Anwendungen auf dem neuesten Stand zu halten, seriöse mobile Sicherheitslösungen zu verwenden und die Berechtigungen jeder Anwendung zu überprüfen; Zugänglichkeitsdienste sollten insbesondere für zuverlässige Apps reserviert werden. Organisationen und Forscher können Proben und Signale in kommunalen Analyse-Tools wie VirusTotal und folgen Sie den Sicherheitsfirmen Berichten, um neue Techniken zu verstehen. Der ESET-Technische Bericht, der ProptSpy im Detail beschreibt, ist auf dem WeLiveSecurity-Blog verfügbar: ProptSpy Analyse.
Über den konkreten Fall hinaus unterstreicht dieser Vorfall einen beunruhigenden Trend: künstliche Intelligenz-Tools, die zur Unterstützung und Automatisierung legitimer Aufgaben konzipiert sind, können auch adaptive und skalierbare Angriffe verstärken. Wir stehen vor einem qualitativen Sprung in der Fähigkeit von böswilligen Akteuren, die Interaktion mit heterogenen Schnittstellen zu automatisieren, die die Notwendigkeit von Kontrollen im Design von APIs erhöht, begrenzt die Verwendung von Modellen von Drittanwendungen und Verbesserungen in der Sicherheit des Betriebssystems selbst.
Das Rennen zwischen Verteidigern und Angreifern ist kompliziert, wenn Intelligenz an Dritte ausgelagert wird. Es ist daher wichtig, dass Hersteller, Modellanbieter und die Sicherheitsgemeinschaft an Maßnahmen arbeiten, die es schwierig machen, Generative zu verwenden - von der Handelspolitik über die Steuerung bis zur Verhaltenserkennung auf mobilen Geräten. In der Zwischenzeit bleibt die beste Verteidigung für einen einzelnen Benutzer der gemeinsame digitale Sinn: nicht Apps von zweifelhaftem Ursprung herunterladen, Berechtigungen überprüfen und, angesichts des Verdachts der Infektion, auf Wege der Erholung und zu zuverlässigen Profis zu greifen.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...