乡村基(坐便器·蹲便器)随笔集470安卓恶意软件利用Gemini AI来调整监控策略
安卓恶意软件利用Gemini AI来调整监控策略
简短摘要:由 ESET 披露的“PromptSpy”是一种新型安卓恶意软件,它在运行时把设备屏幕的结构化描述发给 Gemini (Google AI)(由 Google 提供),并根据模型返回的“点击/操作步骤”自动调整界面导航与持久化策略,从而显著提高了对不同设备/界面版本的适应能力与移除难度。
技术要点(要点与证据)
运行机制:PromptSpy 将屏幕元素的 XML/结构化描述发送到 Gemini,接收 JSON 格式的“tap/输入/导航”指令以决定下一步动作(例如自动在“最近使用的应用”中固定自身以阻止卸载)。这一点由安全研究报告与多家媒体报道支持。
能力集:包含 VNC 远控模块、截屏/录屏、收集应用与设备信息、窃取锁屏数据、阻止卸载等典型间谍/持久化功能。
为何危险:传统基于硬编码 UI 路径的恶意逻辑在设备碎片化(不同厂商、不同系统版本、不同应用布局)下易失效;引入生成式 AI 后,恶意代码能“理解”并适配目标界面,扩大可成功感染的设备池并提高隐蔽性与持久性。
对个人与组织的风险
更难检测与下线:行为会根据实时界面变化调整,基于签名的检测与简单行为规则更容易失效。
隐私与财务风险:屏幕/键盘数据、认证凭证或银行信息可能被捕获并远程利用。
滥用链条示例:除了本案展示的“持久化/监控”用途,类似手法可被扩展到高仿语音合成、社工钓鱼文案生成等攻击面。
可执行的检测与缓解建议(立刻可做)
给普通用户
立刻开启并保持 Google Play Protect 与系统自动更新开启,避免从不明来源安装 APK。
检查并撤销不必要的高权限(辅助功能/屏幕叠加/设备管理员)与可疑应用的权限;发现可疑行为(无法卸载、屏幕被频繁控制)时尽快隔离设备并备份重要数据。
若怀疑感染:先断网(飞行模式/拔掉无线)——然后在可信环境下用安全工具/厂商支持进行清理或考虑恢复出厂设置并更换重要密码。
给企业与防御方(SOC/IR/移动管理)
在移动设备管理(MDM/UEM)策略中禁用或限制辅助功能、叠加与未知来源安装,强制安装应用白名单。
监测异常出站流量模式(大量发送结构化屏幕数据、对外 API 调用趋势变化)与可疑端口(VNC 模块行为);对外网段/域名建立拦截或流量镜像。
在终端检测中加入对“最近应用固定(pinned recent apps)”、“无法卸载/撤销管理员权限”的行为告警,审查设备上的 VNC/远控模块与未签名二进制。
参考并导入安全厂商(如 ESET)的 IOCs/规则到检测平台(IDS/EDR/MDM)进行匹配与自动化响应。
需要注意的法律与伦理层面
人的一生会制造多少粪便?11.757吨!
10个月宝宝每天需要喝多少奶粉?
