ESETは、Google Geminiを使用したAndroid向けの最初のウイルスであるPromptSpyを発見しました

PromptSpyとは何ですか？

ESET社の開発者は、Android向けに新しいマルウェアを発見しました。名前はPromptSpyです。このウイルスは、Google Geminiチャットボットに直接API経由でアクセスし、生成AIの機能を利用して感染したデバイスに「定着」する最初のものです。

PromptSpyの動作

1. Geminiへの接続
マルウェアは事前に用意されたリクエストをGeminiに送信し、ステップごとの指示を受け取ります。これらの指示を使ってデバイス画面（例：画像認識）を分析し、自分自身を最近使用したアプリ一覧に残す方法を決定します。

2. リモートアクセスモジュールのインストール
ユーザーがMorganArgアプリ（実際はマルウェア）のインストールに同意すると、PromptSpyは攻撃者が管理するサーバーと通信し、コードの残り部分をダウンロードします。その中にはVNC仮想ネットワークモジュールと特殊機能サービスへのアクセス要求が実装されており、Androidデバイスをリモートで制御できるようになります。

3. 通常の削除方法の回避
マルウェアは画面上に「透明な矩形」を重ね、重要領域のタッチをブロックし、アプリを強制終了することを難しくします。安全モードでのみ削除でき、そこではサードパーティ製プログラムが無効化されます。

4. 追加機能
- スクリーンロックPINコードの傍受
- 画面上の操作（スワイプ、テキスト入力）の録画
- デバイスに物理的に触れているかのようなインタラクションをエミュレート

出所と攻撃目的
- 地域ターゲット：PromptSpyが配布されたフィッシングサイトは「JPMorgan Chase Argentina」のブランディングを使用し、アルゼンチンのユーザーを対象にしていました。
- ネットワーク上での登場：ウイルスはアルゼンチンからGoogle VirusTotalへサンプルがアップロードされた後に検出されました。
- 中国の痕跡：コード内には中国語のフラグメントが含まれており、中国で開発されたという仮説を裏付けています。

対策方法
- Google Play Protect：ESETによると、Googleの保護サービスはすでにPromptSpyをブロックしており、アプリはPlayストアには掲載されていません。
- OSとアプリの更新：Androidの最新セキュリティアップデートをインストールし、信頼できるソースからのみプログラムをダウンロードしてください。
- 権限への注意：検証されていないアプリのインストール要求に同意せず、特に特殊機能サービスへのアクセスを求められた場合は慎重に。

結論
PromptSpyは生成AIサービスとの新しいレベルの相互作用を示しています。Geminiのおかげでウイルスは任意のデバイスとOSに適応でき、感染リスクが高まります。削除は難しいものの、安全モードで対処可能であり、Google Play Protectの組み込みメカニズムがユーザー保護を提供しています