Android恶意软件运行时调用Google Gemini

研究人员新发现一款 Android 恶意软件家族，该恶意软件在运行过程中调用 Google Gemini 大模型，以实现部分持久化机制的自动化。据研究人员描述，这是已知的第二起由 AI 驱动的移动恶意软件案例。

相关阅读：医疗行业 CISO 医疗物联网安全指南

安全厂商 Eset 将该恶意软件命名为 PromptSpy，并指出它是生成式 AI 直接嵌入 Android 恶意软件的早期实例，可让恶意程序适配设备环境并提升抗清除能力。

研究人员在上传至 VirusTotal 的安卓安装包中发现了该恶意软件。Eset 表示，其产品遥测数据中暂未监测到 PromptSpy，也未证实该恶意软件已在野外大规模部署。但其技术设计充分表明，黑产攻击者正尝试借助 AI 模型，突破传统移动恶意软件在自动化能力上的局限。

此次发现之前，Eset 曾在 2025 年 8 月披露过 PromptLock—— 一款由生成式 AI 驱动的勒索软件。该勒索软件内置本地运行的大语言模型，可在运行时动态生成加密逻辑并支撑恶意代码执行，而非完全依赖预编译的二进制文件。

PromptSpy 的核心创新点在于其与 Android 用户界面的交互方式。

与传统依赖硬编码坐标或静态自动化脚本（极易失效）的恶意软件不同，PromptSpy 会抓取用户当前界面的 XML 结构信息，包括文本标签、控件类型与屏幕坐标，并将这些结构化数据发送给 Gemini。

Gemini 会返回 JSON 格式指令，明确指出需要点击或操作的界面元素。PromptSpy 在本地执行对应动作，获取更新后的界面状态，重复执行上述流程，直至实现持久化驻留。

安装完成后，该恶意软件会尝试获取 无障碍服务（AccessibilityService）权限。这是一项高风险安卓功能，几乎所有安卓木马都会试图诱骗用户授予该权限。

研究人员指出，该恶意软件具备防卸载功能：

它会在包含 “stop”“end”“clear”“Uninstall” 等关键词的按钮上覆盖一层不可见界面，拦截用户操作，阻止常规卸载。

目前唯一可靠的清除方式是重启进入安全模式，此时第三方应用无法干扰系统。

该恶意软件其他已观测到的行为还包括：

采集设备信息、上传已安装应用列表、窃取锁屏 PIN 码、视频录制解锁图案、上报前台应用状态以及屏幕截图。

Eset 将部分 PromptSpy 样本追溯至一个仿冒摩根大通的独立网站 MorganArg，表明该攻击活动主要针对阿根廷用户。

研究人员还在代码中发现中文语言字符串，暗示其开发环境可能与中文地区相关，但目前尚未将该活动归属于任何已知黑客组织。