Das IT-Sicherheitsunternehmen ESET berichtet über eine Android-Malware, die Googles KI Gemini zur Geräteübernahme nutzt.

Forscher von ESET haben nach eigenen Angaben eine Schadsoftware namens PromptSpy entdeckt, die generative KI im laufenden Betrieb einsetzt. Die Malware tarnt sich als Banking-App „MorganArg“ und wird über gefälschte Webseiten verbreitet. Zielgruppe sind bislang vor allem Nutzer in Argentinien.

Android-Malware nutzt Google Gemini zur Selbstverteidigung

Neu ist laut ESET der technische Ansatz: Die App übermittelt Bildschirminhalte an das KI-Modell Gemini, das daraufhin konkrete Handlungsschritte liefert, um ein Schließen der Anwendung zu verhindern. Dadurch soll die Schadsoftware geräte- und versionsunabhängig funktionieren.

Nach der Installation ermöglicht ein Fernsteuerungsmodul umfassenden Zugriff. Angreifer können demnach Bildschirminhalte einsehen, Eingaben auslesen und Transaktionen auslösen. Die App war nicht in offiziellen Stores verfügbar.

Die wichtigsten Punkte laut ESET:

PromptSpy ist die erste bekannte Android-Malware, die generative KI in ihrem Ausführungsablauf verwendet, auch wenn dies nur dazu dient, Persistenz zu erreichen.

Googles Gemini wird verwendet, um Bildschirmelemente auf dem kompromittierten Gerät zu interpretieren und PromptSpy mit dynamischen Anweisungen zu versorgen, wie eine bestimmte Geste auszuführen ist, um in der Liste der letzten Apps zu bleiben.

Der Hauptzweck von PromptSpy (ohne generative KI) besteht darin, ein VNC-Modul auf dem Gerät des Opfers zu installieren, das es Angreifern ermöglicht, den Bildschirm zu sehen und Aktionen aus der Ferne durchzuführen.

PromptSpy wurde in unserer Telemetrie noch nicht beobachtet, was es zu einem möglichen Proof of Concept macht. Die Entdeckung einer wahrscheinlichen Verbreitungsdomäne deutet jedoch auf die Existenz einer Variante hin, die auf Benutzer in Argentinien abzielt.

PromptSpy kann Sperrbildschirmdaten erfassen, Deinstallationen blockieren, Geräteinformationen sammeln, Screenshots erstellen, Bildschirmaktivitäten als Video aufzeichnen und vieles mehr.

Schutzmaßnahmen im Überblick

Apps nur aus offiziellen Quellen installieren

Keine unbekannten Webseiten nutzen

Accessibility-Berechtigungen kritisch prüfen

System regelmäßig aktualisieren

Google Play Protect aktivieren

Ich halte den Einsatz generativer KI in Schadsoftware für eine relevante Entwicklung, da sie technische Schutzmechanismen offenbar flexibler umgehen kann. Die Hintergründe sowie die Funktionsweise der Schadsoftware sind durchaus interessant, diese findet ihr bei ESET.