首个会自行思考的 Android 恶意软件刚刚使用谷歌的 AI 来实现
Source: Dev.to
(未提供需要翻译的正文内容,无法进行翻译。)
概述
一个银行木马正在向 Gemini 询问如何在你的手机上生存。Gemini 正在回答。
2022 年 2 月 19 日,ESET 研究人员披露了一个他们命名为 PromptSpy 的恶意软件家族。根据他们的评估,这是首个在运行时使用生成式 AI 的 Android 威胁——不是作为开发工具,也不是用于编写钓鱼邮件,而是作为其自身执行的活跃组件。
该恶意软件将受感染手机当前状态的截图发送到 Google 的 Gemini API。Gemini 分析屏幕并返回 JSON‑格式的指令:要点击什么、在哪里点击以及点击的顺序。其目的是保持持久性——PromptSpy 利用 Gemini 的响应将自身固定在最近‑应用列表中,防止用户将其滑走或系统将其杀死。
工作原理
PromptSpy 伪装成名为 MorganArg 的银行应用——模仿 JPMorgan Chase 品牌的山寨版,针对阿根廷用户。安装后,它会部署一个 VNC 模块,向攻击者提供对设备的完整远程访问。它会捕获锁屏数据、将屏幕录制为视频、截取截图、阻止卸载,并收集设备信息。
这些都不算新鲜事;具备远程访问能力的 Android 木马已有多年历史。新颖之处在于持久化机制。
传统恶意软件会硬编码其生存技巧。如果 Android 更改了最近任务列表的工作方式,恶意软件就会失效。PromptSpy 将这个问题外包给 Gemini。当操作系统更新、UI 变化,或三星、小米在其定制皮肤上修改最近任务行为时,恶意软件会询问 Gemini 当前屏幕的样子以及如何进行操作。AI 会自行适应,恶意软件无需自行更新。
这就是撬锁工具和锁匠的区别。前者只能打开特定的锁,后者则懂得锁的原理。
时间线
- 1月13日 – 两个前身 VNCSpy 的样本出现在 VirusTotal(来自香港上传)。
- 2月10日 – 四个更高级的样本在阿根廷出现。这些是 PromptSpy 变体,基于 VNCSpy 的基础并加入了 Gemini 集成。
在概念验证与 AI 增强进化之间仅相隔 28 天。ESET 迄今尚未在其遥测中检测到这些样本,这可能意味着该活动规模较小,或是它足够新以至于尚未被发现。
为什么这看起来比实际更重要
安全研究人员已经争论了两年,AI 是否会改变恶意软件。共识是,目前的威胁是 AI 生成的网络钓鱼和社会工程,而不是 AI 融合的恶意软件。PromptSpy 打破了这一共识。
它跨越的技术门槛并不高深:调用 API 是微不足道的。任何开发者都可以把截图发送给 Gemini 并解析 JSON 响应。正是这种易得性,使得这种能力足够廉价,以至于一个以金融利益为动机、针对阿根廷银行客户的团队可以在不到一个月的时间内实现它。
Gemini 并不知道自己正被恶意软件使用。它看到的是一张截图和一个关于 UI 导航的问题。解释如何点击按钮并不违反政策。该请求与合法的可访问性查询没有区别,因此 Google 无法在不破坏合法的可访问性工具、开发者测试和客服自动化的前提下对其进行过滤。
这正是大家警告过的武器化形式,却不是任何人准备应对的那种。它不是 AI 生成的零日漏洞,而是 AI 为恶意软件提供客服——回答关于手机如何使用的基础问题,却无法知道提问者是谁、为何提问。
适配问题
真正的威胁并不是 PromptSpy 本身,而是其架构。将决策委托给 AI 的恶意软件在目标环境发生变化时无需更新,也不需要指挥‑控制服务器来推送新指令;它可以直接从所处的环境中生成指令。
- 每一次更改 UI 的 Android 更新,现在都 无需 对恶意软件进行任何更新即可保持持久性。
- 每一种厂商定制的皮肤都能自动适配。
- 每一个旨在帮助残障用户的辅助功能框架都可能成为恶意软件查询的表面。
Gemini 并不是唯一具备视觉能力的模型。Claude、GPT‑4o 以及其他模型同样接受图像并返回结构化响应。如果 Google 能够阻止 PromptSpy 的 API 调用,下一代变体可能会通过其他模型进行路由。该技术与模型无关。
免费智能的成本
Google 提供 Gemini API 的免费层访问。ESET 未透露 PromptSpy 是否使用免费层或被盗的 API 密钥,但经济学很明确:使恶意软件具备自适应能力的边际成本正趋近于零——每台受感染设备每天几百次 API 调用,仅相当于几分钱。
二十年来,恶意软件的经济学偏向于数量而非复杂性(“撒网祈祷”)。PromptSpy 暗示了一种新平衡:自适应恶意软件足够廉价,可以大规模部署,同时足够智能,能够在无需人工维护的情况下存活。
ESET 将当前样本归类为潜在概念验证。这个评估应该让你感到担忧——这意味着有人构建了它来检验是否可行。它确实可行。