首个 AI 驱动的 Android 恶意软件 PromptSpy 曝光:利用 Google Gemini 实时分析屏幕、自适应任何设备,恶意软件正式进入「会思考」的时代

资讯分享 发布于 阅读 5

📌 一句话总结:安全研究人员发现首个在运行时调用生成式 AI 的 Android 恶意软件 PromptSpy,它利用 Google Gemini 实时分析屏幕内容并自适应不同设备界面,标志着恶意软件正式进入「AI 驱动」时代。

2026年2月21日 · 资讯分享 · 阅读时间约 4 分钟

恶意软件开始「思考」了

ESET 安全研究团队近日披露了一个名为 PromptSpy 的全新 Android 恶意软件家族。与传统恶意软件依赖硬编码指令不同,PromptSpy 在运行过程中会主动调用 Google 的 Gemini 生成式 AI 模型,将当前屏幕的 UI 元素信息(包括类型、文本和位置)以 XML 格式发送给 AI,然后根据 AI 返回的 JSON 指令执行下一步操作。

这是已知的第一个在执行流程中集成生成式 AI 的 Android 恶意软件。此前虽然有恶意软件使用机器学习模型(如 Dr.WEB 发现的 Android.Phantom 利用 TensorFlow 进行广告欺诈),但直接在运行时向大语言模型发送 prompt 并据此决策,PromptSpy 是头一个。

为什么要用 AI?解决碎片化难题

Android 恶意软件通常依赖固定的屏幕坐标、UI 选择器或预设的点击脚本来操控设备。但 Android 生态的碎片化意味着不同厂商、不同系统版本、不同屏幕尺寸的界面布局千差万别,一套硬编码脚本很难通吃所有设备。

PromptSpy 的做法很聪明:它把「看屏幕、做决定」这件事外包给了 Gemini。具体来说,它需要实现一个关键的持久化操作——将自身锁定在最近应用列表中,防止被用户滑动关闭或被系统杀掉。这个「锁定应用」的手势在不同设备上操作路径完全不同,传统脚本很难覆盖。而 Gemini 可以理解当前屏幕上的所有元素,然后告诉恶意软件该点哪里、怎么滑动。

通过依赖生成式 AI 来解读屏幕元素并决定如何与之交互,恶意软件可以适应几乎任何设备、屏幕尺寸或 UI 布局。
— 来源:ESET Research

不只是 AI 噱头:完整的间谍软件功能

除了 AI 驱动的持久化机制,PromptSpy 本身是一个功能完备的间谍软件:

  • 内置 VNC 远程访问模块,攻击者可以实时查看屏幕并执行点击、滑动、输入等操作
  • 滥用 Android 无障碍服务,用不可见的覆盖层阻止用户卸载
  • 捕获锁屏凭据、录制屏幕视频、收集已安装应用列表
  • 通过 VNC 协议与 C&C 服务器通信,使用 AES 加密

研究人员发现 PromptSpy 通过专门的网站分发,伪装成阿根廷的 Chase 银行(摩根大通)应用,应用名为「MorganArg」。从语言本地化线索和分发方式来看,这次攻击主要针对阿根廷用户,但代码分析显示它是在中文环境中开发的。

Google 的回应

Google 在声明中表示,目前在 Google Play 上没有发现包含此恶意软件的应用。Android 设备上默认启用的 Google Play Protect 可以自动防护已知版本的此类恶意软件,即使应用来自 Play 商店以外的来源也能发出警告或阻止安装。

值得注意的是,ESET 表示目前尚未在其遥测数据中观察到 PromptSpy 的实际传播,这意味着它可能仍处于概念验证阶段。但专用分发域名和银行伪装页面的存在表明,这不太可能只是纯粹的实验。

富贵点评

这条新闻让我想起去年 ESET 发现的 PromptLock——第一个 AI 驱动的勒索软件。从勒索到间谍,AI 正在被攻击者当作「万能适配器」来用。PromptSpy 目前只在持久化这一个环节用了 AI,但思路一旦打通,未来用 AI 来自动绕过安全检测、动态生成钓鱼界面、甚至根据受害者行为实时调整攻击策略,都不是天方夜谭。

更值得玩味的是,攻击者用的是 Google 自家的 Gemini 来攻击 Android——这就像用你家的钥匙开你家的锁。AI 公司在开放 API 的同时,如何防止模型被恶意调用,恐怕要成为一个越来越紧迫的课题。对普通用户来说,老生常谈但依然有效:不要从非官方渠道安装应用,保持 Play Protect 开启。

📋 要点回顾

  • 首个 AI 运行时恶意软件:PromptSpy 是已知第一个在执行过程中调用生成式 AI(Gemini)的 Android 恶意软件
  • 解决碎片化问题:通过让 AI 分析屏幕 UI 元素,恶意软件可以自适应任何 Android 设备和系统版本
  • 完整间谍功能:内置 VNC 远程控制、锁屏凭据窃取、屏幕录制、反卸载等功能
  • 目前风险有限:尚未在野外大规模传播,Google Play Protect 已可防护,但概念已被验证
  • 趋势信号明确:继 PromptLock 勒索软件之后,AI 驱动的恶意软件正在从实验走向实战

❓ 常见问题

Q: PromptSpy 会影响普通 Android 用户吗?

A: 目前风险很低。PromptSpy 没有出现在 Google Play 上,只通过第三方网站分发,且主要针对阿根廷用户。只要你不从非官方渠道安装来路不明的银行类应用,并保持 Google Play Protect 开启,基本不会受到影响。

Q: 恶意软件调用 Gemini API 不需要付费吗?Google 不能封禁吗?

A: 恶意软件中硬编码了 AI 模型和 prompt,具体的 API 调用方式研究人员未完全披露。理论上 Google 可以通过检测异常调用模式来封禁,但这也引出了一个更大的问题:当 AI API 越来越开放,如何在不影响正常使用的前提下防止恶意调用,是所有 AI 公司都需要面对的挑战。

Q: 这和之前用 AI 生成钓鱼邮件有什么区别?

A: 本质区别在于 AI 的使用时机。之前的案例是攻击者在准备阶段用 AI 生成内容(如钓鱼邮件文本),而 PromptSpy 是在恶意软件实际运行过程中实时调用 AI 来做决策。这意味着恶意软件具备了「临场应变」的能力,不再是按剧本演出,而是能根据实际环境即兴发挥。

作者:王富贵 | 发布时间:2026年2月21日

参考来源:ESET Research · Android Authority · SecurityWeek