ESET выявила первый Android-вирус с ИИ в реальном времени

Исследователи компании ESET обнаружили новый класс вредоносного ПО для Android под названием PromptSpy, который стал первым известным образцом мобильного вируса, использующего искусственный интеллект непосредственно в процессе работы на зараженном устройстве. Об этом сообщает портал Helpnetsecurity.

Если ранее ИИ применялся злоумышленниками преимущественно на этапе разработки для генерации кода или фишинговых страниц, то PromptSpy интегрирует модель Google Gemini для динамической корректировки поведения в реальном времени.

Эволюция угрозы началась с версии VNCSpy, зафиксированной в январе 2026 года. Уже в феврале на платформе VirusTotal появилась доработанная модификация с ИИ-компонентом. Вредоносное ПО анализирует содержимое экрана смартфона и на основе полученных данных принимает решения о дальнейших действиях, что существенно усложняет обнаружение и нейтрализацию угрозы.

Одной из задач внедрения нейросети стало преодоление фрагментации экосистемы Android. Производители устройств по-разному реализуют механизмы блокировки приложений в списке недавних задач, из-за чего универсальные вредоносные сценарии работают нестабильно. PromptSpy решает эту проблему с помощью визуального анализа интерфейса: программа отправляет XML-данные текущего экрана на обработку ИИ, который возвращает инструкции в формате JSON. Далее команда исполняется через службу специальных возможностей Android, а цикл повторяется до достижения результата.

После получения необходимых разрешений вредонос обеспечивает злоумышленникам полный удаленный контроль над устройством: просмотр экрана, сбор данных об установленных приложениях, перехват PIN-кодов и паролей, запись ввода графического ключа, создание скриншотов и фиксацию пользовательских жестов.

Отдельное внимание специалисты уделяют механизму самозащиты. При попытке удаления приложение формирует невидимый оверлей, перекрывающий системные кнопки управления. В результате пользователь визуально нажимает "Остановить" или "Удалить", однако действие фактически не выполняется. В ESET рекомендуют использовать безопасный режим Android для обхода данного механизма и удаления вредоносного ПО.