Τι πρέπει να γνωρίζεις (TL;DR):
- Εντοπίστηκε από την ESET το PromptSpy, η πρώτη καταγεγραμμένη απειλή στο Android που ενσωματώνει παραγωγική AI απευθείας στον κώδικά της.
- Αξιοποιεί το AI μοντέλο Gemini της Google για να «διαβάζει» την οθόνη και να προσαρμόζει δυναμικά τη συμπεριφορά του, μπλοκάροντας τη διαγραφή του.
- Προσφέρει στους hackers πλήρη απομακρυσμένο έλεγχο μέσω VNC, κλέβει PINs, και καταγράφει βίντεο κατά το ξεκλείδωμα της συσκευής.
- Η αφαίρεσή του είναι εξαιρετικά δύσκολη στο κανονικό περιβάλλον χρήσης και απαιτεί υποχρεωτικά εκκίνηση του τηλεφώνου σε Safe Mode.
Η ενσωμάτωση του AI περνάει στο στρατόπεδο των hackers
Η είσοδος της Τεχνητής Νοημοσύνης στα λειτουργικά συστήματα θεωρείται πλέον δεδομένη, όμως η επόμενη μέρα της κυβερνοασφάλειας μόλις έγινε πολύ πιο περίπλοκη. Η ομάδα ερευνητών της ESETανακάλυψε το PromptSpy, ένα νέο κακόβουλο λογισμικό (malware) για Android το οποίο διαφοροποιείται εντελώς από ό,τι έχουμε δει μέχρι σήμερα.
Δεν περιορίζεται σε στατικές εντολές, αλλά ενσωματώνει την παραγωγική AI – συγκεκριμένα το Gemini της Google – για να λαμβάνει αποφάσεις σε πραγματικό χρόνο. Δεν μιλάμε απλώς για έναν «ιό» που υποκλέπτει δεδομένα, αλλά για ένα παρασιτικό εργαλείο που σκέφτεται, διαβάζει το περιβάλλον του τηλεφώνου και βρίσκει μόνο του τρόπους να παραμένει ενεργό.
Γιατί το PromptSpy αλλάζει τους κανόνες
Μέχρι σήμερα, τα Android trojans βασίζονταν σε προκαθορισμένες συντεταγμένες οθόνης για να κάνουν κλικ και να πάρουν αυθαίρετα δικαιώματα προσβασιμότητας (Accessibility Services). Το μόνιμο πρόβλημα των hackers; Το Android έχει τεράστιο κατακερματισμό. Τα μενού ενός Galaxy S26 με One UI είναι εντελώς διαφορετικά από ένα Xiaomi 15 με HyperOS.
Εδώ ακριβώς εντοπίζεται η τεράστια καινοτομία του PromptSpy. Το malware αναλύει τα στοιχεία του περιβάλλοντος χρήσης (UI) στο εκάστοτε τηλέφωνο και στέλνει τα δεδομένα στο Gemini AI. Το μοντέλο της Google επεξεργάζεται την εικόνα και επιστρέφει στους επιτιθέμενους οδηγίες βήμα προς βήμα για το πού ακριβώς πρέπει να γίνει "tap" ή "swipe" ώστε η κακόβουλη εφαρμογή να παραμείνει στη λίστα των πρόσφατων (Recent Apps) και να αποτραπεί η απεγκατάστασή της. Δημιουργείται έτσι ένας συνεχής βρόγχος ανατροφοδότησης (feedback loop): Το malware στέλνει την οθόνη στο Gemini, περιμένει οδηγίες, τις εκτελεί και επιστρέφει το νέο αποτέλεσμα, μέχρι η AI να επιβεβαιώσει πως το σύστημα παραβιάστηκε επιτυχώς.
Πλήρης υποκλοπή και εφιαλτική εμπειρία χρήσης
Παράλληλα, το PromptSpy ενσωματώνει πρωτόκολλο VNC με ισχυρή κρυπτογράφηση AES, επικοινωνώντας με έναν hardcoded server (εντοπίστηκε στην IP 54.67.2.84). Αυτό επιτρέπει στους hackers να βλέπουν την οθόνη του θύματος ζωντανά, να καταγράφουν βίντεο την ώρα που εισάγετε το μοτίβο ή το PIN σας, και να ανεβάζουν λίστες με τις εφαρμογές σας.
Στην πράξη, αν η συσκευή σας μολυνθεί, η εμπειρία είναι εκνευριστική και τρομακτική ταυτόχρονα. Προσπαθείτε να ανοίξετε τις ρυθμίσεις για να διαγράψετε την εφαρμογή (η οποία μεταμφιέζεται ως δήθεν update) και βλέπετε την οθόνη να κλείνει ακαριαία το μενού ή να κάνει tap αλλού από μόνη της.
Τι ισχύει και τι φημολογείται
- Τι γνωρίζουμε επιβεβαιωμένα: Σύμφωνα με την έρευνα του Lukas Stefanko της ESET, η απειλή είναι πέρα για πέρα αληθινή. Αυτή τη στιγμή κρύβεται πίσω από μια εφαρμογή ονόματι "MorganArg", στοχεύοντας αρχικά χρήστες στην Αργεντινή. Επιπλέον, είναι επιβεβαιωμένο ότι η μόνη λύση για τη διαγραφή της είναι η επανεκκίνηση σε Safe Mode (Ασφαλής Λειτουργία), όπου τα third-party apps απενεργοποιούνται.
- Τι φημολογείται: Παρότι η τρέχουσα εξάπλωση δείχνει γεωγραφικά περιορισμένη, κορυφαίοι αναλυτές αναμένουν πως ο πηγαίος κώδικας του PromptSpy θα διατεθεί σύντομα στο dark web ως Malware-as-a-Service (MaaS). Αυτό πρακτικά σημαίνει ότι η μεθοδολογία χρήσης του Gemini AI θα ενσωματωθεί ραγδαία σε εφαρμογές που στοχεύουν την ευρωπαϊκή και ελληνική αγορά, ίσως κάτω από τον μανδύα φαινομενικά αθώων apps παραγωγικότητας.
Με τη ματιά του Techgear
Το PromptSpy δεν είναι απλώς άλλη μια είδηση για malware, αλλά ένα «preview≥ της επόμενης δεκαετίας στο κυβερνοέγκλημα. Αυτό που μας προβληματίζει έντονα είναι η εργαλειοποίηση των Large Language Models (όπως το Gemini) για την παράκαμψη των εμποδίων του ίδιου του λειτουργικού συστήματος της Google. Όταν μια απειλή δεν βασίζεται σε άκαμπτο κώδικα αλλά προσαρμόζεται έξυπνα σαν να κρατάει τη συσκευή ένας αόρατος χρήστης, η παραδοσιακή προστασία αποτυγχάνει. Αν το Google Play Protect δεν γίνει άμεσα εξίσου «ευφυές» με τα εργαλεία που χρησιμοποιούν οι hackers, ο μέσος χρήστης θα βρεθεί εντελώς απροστάτευτος.
