Security-Forscher haben festgestellt, was scheint die erste Malware-Familie für Android, die direkt ein generatives Intelligenz-Modell in seinen laufenden Fluss integriert. Das Stück, benannt von Analysten wie PromptSpy, wurde vom ESET-Team nach der Analyse von Proben beschrieben, die in öffentlichen Malware-Analyse-Diensten erschienen. Die Neuheit ist nicht, dass der Code IA verwendet, um Phishing-E-Mails oder bösartige Inhalte zu erzeugen, sondern dass es ein Sprachmodell in Laufzeit nennt, um zu entscheiden, welche Aktionen auf der infizierten Geräteoberfläche zu tun. Hier können Sie den ESET-Technical Report überprüfen: WeLiveSecurity / ESET.
Der Mechanismus, den ProptSpy verwendet, basiert auf Googles Gemini-Modell. Die Malware erfasst einen XML-Flip vom aktiven Bildschirm - eine strukturierte Liste von sichtbaren IU-Elementen, deren Tags, Typen und Koordinaten - und sendet es neben einer Aufforderung zum Modell. Gemini gibt Anweisungen im JSON-Format zurück, die beschreiben, welche Interaktion auf dem Bildschirm zu tun, um zum Beispiel "block" oder "set" die Anwendung in der Ansicht neuer Anwendungen. Die Malware führt diese Anweisungen durch den Android Accessibility Service, liest den neuen Zustand des Bildschirms und wiederholt die Schleife, bis das Modell bestätigt, dass die Anwendung behoben wurde.
Dieses Verhalten hat ein klares Ziel: Beharrlichkeit. Auf vielen Android-Geräten gibt es eine Option, um eine App in der Liste der letzten zu "blocken" oder "anchor"; wenn eine Anwendung eingestellt ist, ist das System weniger wahrscheinlich, seinen Prozess während der Speicherreinigung oder wenn der Benutzer drücken "Alle löschen". Für eine legitime App, die Hintergründe Arbeitsunterbrechungen vermeidet; für eine Spyware wie ProptSpy, sorgt es dafür, dass der bösartige Code länger am Leben gehalten wird. Das Problem für Malware-Autoren ist, dass die Implementierung und Lage dieser Funktion viel zwischen Marken und Android-Versionen variieren, und das ist, wo die adaptive Kapazität des Sprachmodells nützlich ist.
Jenseits anhaltender Innovation ist der Hauptzweck von ProptSpy Spionage. Die Analysen zeigen, dass es ein VNC-Modul umfasst, das es Angreifern ermöglicht, den Gerätebildschirm in Echtzeit anzuzeigen und zu steuern, wenn die Anwendung Berechtigungsrechte hat. Zu den ihm zugeschriebenen Fähigkeiten gehören die Erfassung von Bildschirmen und Video aus dem Entriegelungsmuster, das Lesen und das mögliche Abhören von PIN oder Passwörtern aus dem Schlossbild, die Auflistung von installierten Anwendungen und die Aufnahme der Anwendung im Vordergrund und Benutzergesten. Darüber hinaus, wenn das Opfer versucht, die App zu deinstallieren oder Berechtigungen zu widerrufen, platziert die Malware unsichtbare Rechtecke auf System-Tasten, so dass, indem Sie sie drücken, die legitime Aktion nicht läuft und die Deinstallation gesperrt ist.
Deinstallieren Sie diese Art von Bedrohung kann Schritte aus dem gewöhnlichen: Forscher erklären, dass der Android Abgesicherten Modus Neustart - die Drittanbieter-Anwendungen deaktiviert - ist die zuverlässigste Möglichkeit, die bösartige Anwendung zu entfernen, wenn der Überlappungs-Verriegelungsmechanismus aktiv ist. In diesem Zusammenhang hat ESET bisher noch keine umfangreichen ProptSpy-Erkennungen in seiner Telemetrie gemeldet, so dass es noch unklar ist, ob es sich um einen fortgeschrittenen Konzepttest oder um eine eingeschränkte Zirkulationssoftware handelt. Jedoch, die Tatsache, dass einige Proben könnten durch dedizierte Domänen verteilt worden sein und eine Seite, die eine Bank imitierte, deutet darauf hin, dass es in realen Angriffen verwendet worden sein könnte; Sie können die Nachrichten BleepingComputer: BlepingComputer und die Stichprobenanalyse in Dienstleistungen wie VirusTotal.
Wird bestätigt, dass die Verwendung von Gemini oder anderen LLM in Laufzeiten weit verbreitet ist, sind die Folgen für die mobile Cybersicherheit relevant. Die IA bietet den Angreifern ein "Hirn" zur Interpretation heterogener Schnittstellen und zur Erzeugung von an jedes Gerät angepassten Interaktionssequenzen., die die Abhängigkeit von starren Skripten reduziert, die nicht zu kleinen Änderungen in der Schnittstelle. Diese Anpassungsfähigkeit erleichtert die Automatisierung von Aktionen, die zuvor von jedem Hersteller eine spezifische Konstruktion erforderten, wodurch die Erkennung durch Signaturen und die Blockierung durch statisches Verhalten erschwert wird.
Die Entstehung von ProptSpy passt in einen breiteren Trend: bösartige Akteure und nach Geheimdienstgruppenberichten experimentieren sogar staatlich unterstützte Kampagnen mit generativen Modellen, um Aufgaben von der Anerkennung zu den Postkommitmentbewegungen zu beschleunigen. Parallel sollen Plattformanbieter und Sicherheitsausrüstung die Überwachungs- und Missbrauchsgrenzen von APIs verbessern, die eine automatisierte Interaktion mit der Benutzeroberfläche ermöglichen.
Für Benutzer und Administratoren gehen praktische Empfehlungen durch bekannte, aber effektive Maßnahmen: vermeiden Sie die Installation von Apps außerhalb von vertrauenswürdigen Geschäften, sorgfältig überprüfen, welche Apps sensible Berechtigungen wie Barrierefreiheit oder die Möglichkeit, andere Anwendungen zu zeichnen, das Betriebssystem und die Apps aktuell zu halten und zusätzlichen Schutz wie Google Play Protect zu verwenden. Die offiziellen Android-Führungen, wie Zugänglichkeitsdienste funktionieren und wie sie verwalten sind ein guter Ausgangspunkt für das Verständnis technischer Risiken: Offizielle Dokumentation von Accessibility Services. Für allgemeine mobile Sicherheitsberatung können Sie Regierungsressourcen wie CISA konsultieren: CISA - Sicherheitstipps für mobile Geräte, und Googles Erklärung, wie Play Protect hilft, die Spender zu schützen: Google Play Protect.
ProptSpy ist jetzt ein frühes Beispiel dafür, wie generative Intelligenz in den schädlichen Software-Ausführungszyklus selbst integriert werden kann und bereits bekannte Techniken (Persistenz, Fernbedienung, Deinstallation Evasion) in viel flexiblere Prozesse verwandelt. Die Lektion für Benutzer und Profis ist klar: Die Ankunft generativer Modelle auf das Bedrohungs-Ökosystem macht keine Bedrohungen neu, aber es macht sie schwieriger zu erwarten. Die Verteidigung erfordert die Aufrechterhaltung der grundlegenden guten Praktiken, die Stärkung der Genehmigungskontrollen und die Verbesserung der Verhaltenserkennung in mobilen Endpunkten.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...
PinTheft die öffentliche Explosion, die Ihnen Wurzel auf Arch Linux geben könnte
Eine neue öffentliche Explosion hat die Fragilität des Linux-Privileg-Modells wieder auf die Oberfläche gebracht: Das V12-Sicherheitsteam nannte den Ausfall als PinTheater und v...