Der Kern der von ESET beschriebenen Funktionsweise liegt darin, dass das KI-Modell und ein Prompt fest in der Malware verankert sind. Dem KI-Agenten wird dabei die Rolle eines “Android-Automatisierungsassistenten” zugewiesen. PromptSpy schickt an Gemini einen Prompt in natürlicher Sprache zusammen mit einem XML-Abzug des aktuellen Bildschirms, der detaillierte Informationen zu jedem Bedienelement liefert – darunter Text, Typ und exakte Position auf dem Display.

Gemini verarbeitet diese Angaben und antwortet mit Anweisungen im JSON-Format, die der Malware mitteilen, welche Aktion sie an welcher Stelle ausführen soll, etwa einen Tippvorgang. Diese mehrstufige Interaktion läuft so lange weiter, bis die App erfolgreich in der Liste der zuletzt verwendeten Apps fixiert ist und nicht mehr beendet werden kann.

“Da Android-Malware häufig auf die Navigation durch die Benutzeroberfläche angewiesen ist, ermöglicht der Einsatz generativer KI den Angreifern, sich an nahezu jedes Gerät, jedes Layout und jede Betriebssystemversion anzupassen, was den Kreis möglicher Opfer erheblich vergrößern kann”, erklärt Štefanko.

Die von Gemini vorgeschlagenen Aktionen werden über die Bedienungshilfen (Accessibility Services) von Android ausgeführt, sodass die Malware ohne Zutun des Nutzers mit dem Gerät interagieren kann. Dieselben Dienste nutzt PromptSpy auch, um über unsichtbare Overlays die eigene Deinstallation zu verhindern. Die Kommunikation läuft über einen fest einprogrammierten Command-and-Control-Server (“54.67.2[.]84”) via VNC-Protokoll; darüber bezieht die Malware unter anderem den Gemini-API-Schlüssel, erstellt auf Abruf Screenshots, fängt PIN oder Passwort des Sperrbildschirms ab und zeichnet den Entsperrvorgang per Muster als Video auf.

Aus den Hinweisen zur Sprachlokalisierung und den genutzten Verbreitungswegen schließt ESET, dass die Kampagne finanziell motiviert ist und auf Nutzer in Argentinien zielt. Zugleich deuten Debug-Strings in vereinfachtem Chinesisch darauf hin, dass PromptSpy in einem chinesischsprachigen Umfeld entwickelt wurde. ESET bewertet die Schadsoftware als fortgeschrittene Variante einer zuvor unbekannten Android-Malware namens VNCSpy, deren erste Proben kürzlich aus Hongkong bei VirusTotal hochgeladen wurden.

Verbreitet wird PromptSpy über die Website “mgardownload[.]com”, die einen Dropper ausliefert. Nach Installation und Start öffnet dieser eine auf “m-mgarg[.]com” gehostete Webseite, die sich unter dem Namen “MorganArg” als JPMorgan Chase ausgibt – in Anlehnung an Morgan Argentina. Der Dropper fordert die Opfer auf, die Installation von Apps aus unbekannten Quellen zuzulassen, und kontaktiert im Hintergrund seinen Server, um eine Konfigurationsdatei mit einem Download-Link zu einer weiteren APK abzurufen, die dem Opfer auf Spanisch als Update präsentiert wird. Während der Untersuchung war der Konfigurationsserver laut ESET nicht mehr erreichbar, sodass die genaue Download-URL unbekannt bleibt.

Da sich PromptSpy durch unsichtbare Bildschirmelemente gegen die Deinstallation schützt, bleibt Betroffenen als einziger Ausweg, das Gerät im abgesicherten Modus neu zu starten, in dem Apps von Drittanbietern deaktiviert sind und entfernt werden können.

Ein Google-Sprecher teilte The Hacker News per E-Mail mit, es gebe derzeit keine Hinweise darauf, dass Apps mit PromptSpy über Google Play verbreitet würden. Nutzer seien gegen bekannte Versionen der Malware automatisch durch Google Play Protect geschützt, das auf Geräten mit Google Play Services standardmäßig aktiviert sei und auch vor Apps aus Quellen außerhalb von Play warnen oder diese blockieren könne.