Um vírus Android “impulsionado” por IA acaba de aparecer. Descoberto pelos pesquisadores da ESET, o PromptSpy conta com o Google Gemini para analisar a tela do smartphone em tempo real, contornar as proteções do Android e resistir à desinstalação.
Os pesquisadores da ESET acabaram de descobrir um malware desconhecido, PromptSpy. Projetado para hackear smartphones Android, esse malware se destaca por explorar inteligência artificial generativa para resistir melhor à desinstalação. Segundo os pesquisadores, o vírus marca uma virada preocupante na história das ameaças aos telefones celulares.
Leia também: Este novo malware escreve e clica como um humano para passar despercebido
Malware que usa o Google Gemini
Até hoje, os cibercriminosos desenvolviam seus malwares de maneira relativamente rígida, com scripts, instruções fixas e comportamentos geralmente previsíveis. Com o PromptSpy, o malware entrou em uma era totalmente nova. Pela primeira vez, o malware Android integra um modelo generativo de IA diretamente na maneira como funciona. Os hackers contam com o Gemini, o assistente de IA do Google, que é cada vez mais utilizado pelos hackers chineses.
Concretamente, o PromptSpy utiliza o Gemini para analisar a interface do dispositivo infectado em tempo real e receber instruções personalizadas para atingir seus objetivos. O malware típico pode não funcionar corretamente em todos os modelos de smartphones porque as interfaces variam entre os fabricantes do Android. Com a IA generativa, o malware se adapta automaticamente, independentemente da versão ou sobreposição do Android que o dispositivo esteja usando.
“O número potencial de vítimas aumenta acentuadamente, à medida que o malware se torna muito mais flexível e compatível com quase todos os dispositivos”resume Lukáš Štefanko, o pesquisador da ESET que descobriu o vírus.
Com a ajuda do Gemini, o vírus procura “bloquear-se” na lista de aplicações recentes do Android. Resumindo, o malware ativará uma opção nativa do Android que exibirá um ícone de cadeado no bloco do aplicativo, assim que a lista aparecer na tela. Uma vez bloqueado, o aplicativo não desaparece automaticamente da lista quando você abre outros, resiste ao encerramento de aplicativos em lote e permanece sempre ativo em segundo plano, pronto para uso. Resumindo, você não pode mais fechar o aplicativo malicioso, o que deixa o malware livre para fazer o que quiser.
“Embora o PromptSpy utilize apenas o Gemini para uma funcionalidade específica, este caso ilustra como a integração da IA pode tornar o malware mais dinâmico. Oferece aos cibercriminosos a possibilidade de automatizar ações que seriam mais complexas de implementar através de scripts tradicionais.explica Lukáš Štefanko à 01net.
Se o PromptSpy estiver instalado no seu telefone, a desinstalação clássica não funcionará. Na verdade, o malware bloqueia tentativas de desinstalação por meio de sobreposições invisíveis. Para evitar que o usuário desinstale o aplicativo, o vírus exibe elementos invisíveis acima da tela que impedem que você clique onde quiser. Concretamente, quando você acessa as configurações e tenta tocar no botão “Desinstalar”, o malware desenha uma sobreposição transparente exatamente no local do botão. Na verdade, a desinstalação não inicia.
Para se livrar dele, você deve passar pelo modo de segurança do Android. Assim que este modo for ativado, os aplicativos de terceiros serão desativados e poderão ser desinstalados. Para ativar o modo, pressione e segure o botão liga / desliga, pressione e segure Desligar e entre no Modo de segurança. Obviamente, o procedimento varia dependendo da marca.
Leia também: Hackeado de fábrica – milhares de smartphones foram infectados com malware chinês
Arsenal do PromptSpy
Além desse mecanismo de persistência, o malware PromptSpy possui um arsenal impressionante. Distingue-se em particular pela utilização de um módulo de controle remoto. Isso permite que o hacker assuma o controle total do seu smartphone remotamente, como se estivesse segurando fisicamente o seu telefone nas mãos. Isso não é tudo. O vírus também é capaz de interceptar seus dados na tela de bloqueio, comprometendo potencialmente seu código PIN ou o conteúdo de suas notificações. Ele também pode fazer capturas de tela sem o seu conhecimento ou coletar informações sobre o seu dispositivo, como modelo do telefone, versão do sistema ou lista de aplicativos instalados.
Para se espalhar, o malware se esconde no código de aplicativos bancários falsos, diz a ESET. Ele está oculto em particular em um aplicativo chamado MorganArgcom um ícone evocando o banco JPMorgan Chase. Este aplicativo é destinado a internautas residentes na Argentina. As pistas linguísticas presentes no código também apontam para uma campanha dirigida principalmente aos usuários argentinos.
Boas notícias: o malware não chegou à Play Store. No momento, o malware circula apenas na forma de um arquivo APK compartilhado em um site dedicado. Tudo sugere que o vírus ainda está na fase de protótipo e que ainda não foi implantado massivamente na Internet. A ESET compartilhou imediatamente suas descobertas com o Google. Através do Play Protect, solução de segurança padrão do Android, os usuários agora estão protegidos contra todas as variantes do malware.
Este malware não é um caso isolado. Outros vírus dependem cada vez mais da inteligência artificial generativa para atingir os seus objetivos. No ano passado, a ESET também identificou o primeiro ransomware que explora a IA durante os seus ataques, nomeadamente o PromptLock. O Google também descobriu outro malware que usa o Gemini em tempo real durante uma invasão, como o PromptFlux.
👉🏻 Acompanhe notícias de tecnologia em tempo real: adicione 01net às suas fontes no Google e assine nosso canal no WhatsApp.