Sicherheitsforscher haben eine neuartige Android-Malware namens PromptSpy identifiziert. Der Schädling scheint der erste seiner Art zu sein, der generative KI aktiv in seinen Ablauf einbindet. PromptSpy nutzt ein KI-Modell aus Googles Gemini-Reihe, um sich auf infizierten Geräten dauerhaft festzusetzen. Macht auch am meisten Sinn, da davon auszugehen ist, dass sich die Google-Modelle am besten mit Android auskennen.
Die Malware schickt dazu einen XML-Schnappschuss der aktuellen Bildschirmoberfläche an Gemini und bekommt JSON-Anweisungen zurück, welche Tipp- oder Wischgesten sie als Nächstes ausführen soll. Damit pinnt sich PromptSpy in der Liste der zuletzt verwendeten Apps an und verhindert, dass Nutzer es einfach wegwischen.
Das funktioniert unabhängig vom Gerätetyp, Hersteller oder der Android-Version. Herkömmliche Malware scheitert oft an unterschiedlichen Benutzeroberflächen, weil sie auf fest einprogrammierte Koordinaten setzt. PromptSpy überwindet diese Hürde, indem es die Entscheidung an die KI auslagert. Irgendwie ja auch smart.
Den größten Schaden richtet PromptSpy jedoch über einen anderen Weg an. Die Malware installiert ein VNC-Modul, das Angreifern vollständigen Fernzugriff auf das Gerät gewährt. Sie können den Bildschirm in Echtzeit beobachten, Eingaben tätigen, PINs abfangen und Bildschirmaufnahmen anfertigen. Zusätzlich blockiert die Malware ihre eigene Deinstallation über unsichtbare Overlay-Elemente, die Schaltflächen wie „Deinstallieren“ oder „Stopp“ verdecken. Betroffene können den Schädling nur im abgesicherten Modus loswerden.
Die Kampagne richtet sich offenbar gegen Nutzer in Argentinien. Die Malware tarnt sich als Banking-App namens „MorganArg“ und ahmt das Erscheinungsbild der Chase Bank nach. Verbreitet wird sie über eine eigene Website, nicht über Google Play. Debug-Strings in vereinfachtem Chinesisch legen nahe, dass die Entwicklung in einer chinesischsprachigen Umgebung stattfand.
PromptSpy ist nicht der einzige Fall, in dem KI-Bausteine von Google in Schadsoftware auftauchen. Bereits im Januar dokumentierte das russische Antivirenunternehmen Doctor Web die Trojaner-Familie „Phantom“, die Googles TensorFlow.js für automatisierten Klickbetrug einsetzt. Diese Malware analysiert Screenshots mit einem vortrainierten Modell, erkennt Werbeelemente und tippt sie selbstständig an. Verbreitet wurde sie unter anderem über Xiaomis offiziellen App-Store GetApps sowie über Drittanbieterseiten für modifizierte Apps.
Die verantwortliche Security-Firma ESET betont, dass PromptSpy bislang nicht in der eigenen Telemetrie aufgetaucht ist und möglicherweise noch als Proof of Concept einzustufen ist. Dennoch verdeutlichen beide Funde, wie rasch Angreifer KI-Werkzeuge adaptieren, um Schadsoftware anpassungsfähiger zu machen. Die Zukunft wird spaßig.