นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบมัลแวร์ Android ตัวแรกที่มีชื่อว่า PromptSpy ซึ่งใช้ประโยชน์จาก Gemini ซึ่งเป็น AI แชทบอทของ Google เพื่อวิเคราะห์หน้าจออัตโนมัติและสร้างความคงทนบนอุปกรณ์. มัลแวร์นี้สามารถดักจับข้อมูลหน้าจอล็อก, ป้องกันการถอนการติดตั้ง, รวบรวมข้อมูลอุปกรณ์, ถ่ายภาพหน้าจอ และบันทึกกิจกรรมหน้าจอเป็นวิดีโอ. เป้าหมายหลักคือการติดตั้งโมดูล VNC เพื่อให้ผู้โจมตีสามารถควบคุมอุปกรณ์จากระยะไกลได้ การโจมตีนี้อาศัยบริการเข้าถึง (accessibility services) ของ Android ในการดำเนินการโดยไม่ต้องมีการป้อนข้อมูลจากผู้ใช้. มัลแวร์ถูกเผยแพร่ผ่านเว็บไซต์เฉพาะ และพุ่งเป้าไปที่ผู้ใช้ในอาร์เจนตินา แม้จะพัฒนาในสภาพแวดล้อมที่พูดภาษาจีน.
Severity: วิกฤต
System Impact:
- อุปกรณ์ Android (ระบบปฏิบัติการ Android และ UI)
- Google Gemini AI (ถูกนำไปใช้ในทางที่ผิด)
- บริการเข้าถึง (Accessibility Services) ของ Android
- โครงสร้างพื้นฐานเครือข่าย (การสื่อสาร C2)
Technical Attack Steps:
- การเผยแพร่: มัลแวร์ (Dropper) ถูกแจกจ่ายผ่านเว็บไซต์เฉพาะ (เช่น “mgardownload[.]com”)
- การปลอมแปลง: Dropper ปลอมตัวเป็นแอปพลิเคชันที่ถูกกฎหมาย (เช่น “MorganArg” อ้างอิงถึง JPMorgan Chase)
- การหลีกเลี่ยงการขออนุญาต: แนะนำให้เหยื่อให้สิทธิ์ในการติดตั้งแอปจากแหล่งที่ไม่รู้จัก
- การส่งมอบ Payload: Dropper ติดต่อเซิร์ฟเวอร์ C2 เพื่อดาวน์โหลด PromptSpy APK (นำเสนอเป็นการอัปเดต)
- การใช้ AI ในทางที่ผิดเพื่อสร้างความคงทน: มัลแวร์ส่งข้อมูล XML ของหน้าจอ Android ปัจจุบันไปยัง Gemini AI ซึ่งจะวิเคราะห์หน้าจอและให้คำแนะนำแบบ JSON (เช่น การแตะ) มัลแวร์จะดำเนินการตามคำแนะนำเหล่านี้ผ่านบริการเข้าถึงเพื่อปักหมุดตัวเองในรายการแอปที่ใช้งานล่าสุด ป้องกันการปิดแอปได้ง่าย
- การใช้บริการเข้าถึงในทางที่ผิดเพื่อป้องกันการถอนการติดตั้ง: ใช้การวางซ้อนแบบโปร่งใสเพื่อบล็อกการถอนการติดตั้ง
- การติดตั้งโมดูลควบคุมระยะไกล: ติดตั้งโมดูล VNC ในตัว
- การดึงข้อมูล/การเฝ้าระวัง: ดักจับ PIN/รหัสผ่านหน้าจอล็อก, บันทึกกิจกรรมหน้าจอเป็นวิดีโอ และถ่ายภาพหน้าจอตามคำสั่ง
- การสื่อสารกับ C2: สื่อสารกับเซิร์ฟเวอร์ C2 ที่ฝังไว้ (“54.67.2[.]84”) ผ่านโปรโตคอล VNC
Recommendations:
Short Term:
- หลีกเลี่ยงการติดตั้งแอปจากแหล่งที่ไม่รู้จัก (sideloading)
- ระมัดระวังแอปที่ปลอมตัวเป็นบริการที่ถูกกฎหมาย
- หากติดเชื้อ ให้รีบูตอุปกรณ์เข้าสู่ Safe Mode เพื่อถอนการติดตั้งมัลแวร์
- ตรวจสอบและจำกัดการอนุญาตบริการเข้าถึงสำหรับแอปพลิเคชันต่างๆ
Long Term:
- อัปเดตระบบปฏิบัติการ Android และแอปพลิเคชันอย่างสม่ำเสมอ
- ใช้โซลูชันป้องกันไวรัส/ความปลอดภัยบนมือถือที่มีชื่อเสียง
- ให้ความรู้แก่ผู้ใช้เกี่ยวกับกลยุทธ์ Social Engineering (Phishing, การอัปเดตปลอม)
- ใช้มาตรการนโยบายการใช้งานแอปพลิเคชันที่เข้มงวด
- ตรวจสอบทราฟฟิกเครือข่ายเพื่อหาสัญญาณการสื่อสาร C2 ที่น่าสงสัย
Source: https://thehackernews.com/2026/02/promptspy-android-malware-abuses-google.html
Share this content: