Technology Guides, Tutorials and Travels

PromptSpy: jak pierwszy malware z generatywną AI zmienia bezpieczeństwo Androida

Sebastian
PromptSpy: jak pierwszy malware z generatywną AI zmienia bezpieczeństwo Androida

PromptSpy na tle boomu generatywnej sztucznej inteligencji

Generatywna sztuczna inteligencja w kilka lat przeszła drogę od eksperymentu badawczego do masowego produktu konsumenckiego. ChatGPT, Gemini, Copilot i zapowiadane przez Apple rozwiązania oparte na AI stały się codziennymi narzędziami pracy i rozrywki. Wraz z ich popularyzacją rośnie jednak zainteresowanie cyberprzestępców, którzy bardzo szybko uczą się wykorzystywać nowe technologie do ataków na użytkowników.

Jednym z najbardziej przełomowych przykładów tego trendu jest PromptSpy – nowa rodzina złośliwego oprogramowania na Androida, opisana przez analityka bezpieczeństwa Lukáša Štefanko z ESET. To pierwsze znane malware na tę platformę, które integruje generatywną AI (konkretnie model Google Gemini) nie po to, by „atakować ludzi w magiczny sposób”, ale w bardzo pragmatycznym celu: utrzymać się w systemie ofiary i zwiększyć skuteczność ataku.

PromptSpy odpowiada więc na kilka coraz częściej wpisywanych w wyszukiwarkę pytań: „PromptSpy – co to jest?”, „malware Android ChatGPT”, a także „jak bezpiecznie używać aplikacji AI na telefonie”. Ten przypadek jest przełomowy, bo pokazuje zmianę jakościową w świecie cyberzagrożeń: malware nie jest już zestawem sztywnych skryptów, które trzeba ręcznie dopasowywać do kolejnych wersji systemu. Dzięki generatywnej AI jest w stanie „zrozumieć” interfejs i elastycznie się do niego dostosować.

Warto podkreślić, że nie mówimy tu o fantastycznym scenariuszu „AI, która atakuje ludzi”. PromptSpy używa Gemini jako narzędzia do manipulowania interfejsem użytkownika i systemem Android: do przypinania złośliwej aplikacji na liście ostatnio używanych, omijania prób zamknięcia, czy blokowania odinstalowania. To chłodne, pragmatyczne wykorzystanie AI do poprawy „operacyjnej” strony ataku.

Równolegle do bezpieczeństwa, masowe wdrażanie AI ma też inne konsekwencje – od zmian na rynku pracy po wpływ na środowisko. Na naszym portalu szerzej analizujemy np. środowiskowy „ślad wodny” modeli językowych w tekście Czy ChatGPT naprawdę „pije wodę”? Ślad wodny sztucznej inteligencji bez mitów i paniki. W tym artykule skupiamy się jednak na nowym wymiarze ryzyka: jak PromptSpy wykorzystuje genAI i co z tego wynika dla każdego użytkownika Androida.

Czym jest PromptSpy i dlaczego eksperci mówią o nowej klasie zagrożeń

PromptSpy to rodzina złośliwego oprogramowania (malware) atakująca urządzenia z systemem Android. Badacze bezpieczeństwa, w tym Lukáš Štefanko z ESET, uznali ją za pierwsze znane oprogramowanie na tę platformę, które wykorzystuje generatywną sztuczną inteligencję – model Google Gemini – do utrzymania się w systemie ofiary i zwiększenia elastyczności ataku.

Sama nazwa „PromptSpy” nie jest przypadkowa. Odnosi się do „promptowania”, czyli podawania modeli AI odpowiednio przygotowanych poleceń (promptów), aby uzyskać pożądany rezultat. W tym przypadku cyberprzestępcy nie opisują ręcznie wszystkich scenariuszy nawigacji po interfejsie Androida. Zamiast tego proszą model Gemini o wygenerowanie instrukcji: gdzie kliknąć, jak przesunąć ekran, które elementy interfejsu wykorzystać, aby złośliwa aplikacja pozostała aktywna i trudna do usunięcia.

Aby zrozumieć wagę tego rozwiązania, warto krótko wyjaśnić kilka kluczowych pojęć:

  • Malware – ogólne określenie na złośliwe oprogramowanie, którego celem jest wyrządzenie szkody użytkownikowi: kradzież danych, przejęcie urządzenia, szantaż, wykorzystanie zasobów do innych ataków.
  • Trojan – typ malware podszywający się pod użyteczną aplikację (np. narzędzie do bankowości czy asystenta AI), który po instalacji wykonuje działania ukryte przed użytkownikiem.
  • Moduł VNC – komponent zapewniający zdalny dostęp do urządzenia. Dla atakującego wygląda to tak, jakby trzymał telefon ofiary w ręku: może klikać, przewijać, otwierać aplikacje i potwierdzać operacje.

Głównym celem PromptSpy jest właśnie zdalne przejęcie telefonu poprzez wbudowany moduł VNC oraz ciągłe utrzymywanie się w systemie mimo prób zamknięcia lub odinstalowania. Z technicznego punktu widzenia generatywna AI jest zaimplementowana tylko w niewielkim fragmencie kodu, który odpowiada za utrzymanie ciągłości działania. Z punktu widzenia skuteczności ataku ta „mała” część ma jednak ogromne znaczenie, bo pozwala malware adaptować się do różnych wersji Androida, layoutów graficznych poszczególnych producentów oraz nietypowych konfiguracji interfejsu.

Do tej pory typowe malware na Androida było relatywnie statyczne. Twórcy musieli ręcznie dopasowywać sekwencje kliknięć i interakcji do zmian w interfejsie, co wymagało aktualizacji kodu i testów na różnych urządzeniach. PromptSpy wprowadza nową jakość: wykorzystuje generatywną AI, aby „rozumieć” strukturę ekranu i samodzielnie dobierać kolejne kroki. To jednak nie oznacza automatycznie globalnej cyberkatastrofy, lecz raczej istotne ułatwienie skalowania ataków oraz zwiększenia ich elastyczności.

Jak działa PromptSpy od infekcji do pełnego przejęcia telefonu

PromptSpy nie pojawił się w oficjalnym sklepie Google Play. Zamiast tego był rozpowszechniany poprzez dedykowaną stronę WWW. To klasyczny schemat socjotechniczny: użytkownik trafia na atrakcyjną ofertę aplikacji finansowej lub „inteligentnego asystenta AI”, która ma pomagać w zarządzaniu pieniędzmi, inwestycjach czy optymalizacji wydatków. Zachęca się go, aby pobrał plik instalacyjny APK spoza oficjalnego sklepu, często pod pretekstem „wcześniejszego dostępu” lub ograniczeń regionalnych.

Jednym z wariantów PromptSpy jest aplikacja o nazwie MorganArg, której ikona wyraźnie nawiązuje do identyfikacji wizualnej znanego globalnie banku Morgan Chase. Dzięki temu w oczach użytkownika zyskuje ona pozory wiarygodności. Podobne techniki są stosowane do naśladowania aplikacji powiązanych z ChatGPT i innymi narzędziami AI – przez wykorzystanie słów „ChatGPT”, „AI Assistant”, „Smart Gemini Chat” czy nawet opisów w rodzaju „oficjalna aplikacja ChatGPT dla bankowości”.

Po instalacji i pierwszym uruchomieniu PromptSpy prosi o szereg uprawnień. Kluczową rolę odgrywają tu usługi ułatwień dostępu (Accessibility Services), które w systemie Android zostały zaprojektowane z myślą o osobach z niepełnosprawnościami, umożliwiając m.in. odczytywanie treści z ekranu czy sterowanie telefonem za pomocą gestów. Malware nadużywa tych uprawnień w kilku celach:

  • blokuje próby odinstalowania, nakładając niewidoczne warstwy (nakładki) na przyciski potwierdzenia, przez co użytkownik nie jest w stanie skutecznie kliknąć „Odinstaluj”;
  • przechwytuje dane z ekranu blokady – np. PIN, hasła czy kody odblokowujące telefon;
  • wykonuje zrzuty ekranu oraz nagrywa aktywność ekranu w formie wideo, dzięki czemu atakujący mogą później analizować, jakie działania wykonuje ofiara.

Po uzyskaniu odpowiednich uprawnień do gry wchodzi moduł VNC. To właśnie on daje operatorowi PromptSpy pełną zdalną kontrolę nad urządzeniem. Przestępca może wówczas otwierać aplikacje bankowe, odczytywać SMS-y (w tym kody autoryzacyjne), potwierdzać transakcje, zmieniać dane kontaktowe czy zakładać nowe usługi finansowe na dane ofiary. Z perspektywy banku wiele z tych działań wygląda jak standardowa aktywność zalogowanego użytkownika.

Kluczową innowacją jest jednak rola modelu Gemini. W kodzie PromptSpy na stałe zaszyto konkretne polecenie (prompt) oraz wskazano wykorzystywany model AI. Zadaniem Gemini jest generowanie sekwencji kroków odpowiadających na pytanie „jak sprawić, żeby złośliwa aplikacja pozostała aktywna”. Może to być np. instrukcja, jak przypiąć aplikację na liście ostatnio używanych, jak reagować na systemowe komunikaty o zamykaniu procesów czy jak obchodzić próby ubijania aplikacji w tle przez mechanizmy oszczędzania baterii.

Dzięki temu PromptSpy może działać na wielu urządzeniach i wersjach Androida bez konieczności ręcznego dopasowywania wyglądu interfejsu przez twórców. Model AI na bieżąco interpretuje układ ekranu, teksty przycisków i elementy graficzne, a następnie dobiera sekwencję działań, która utrzyma malware przy życiu.

Dla przeciętnego użytkownika pierwsze sygnały, że „coś jest nie tak”, mogą być stosunkowo subtelne. Telefon zaczyna działać wolniej, szybciej się nagrzewa albo bateria rozładowuje się w nietypowym tempie. Pojawiają się nietypowe prośby o uprawnienia, w szczególności dostępu do usług ułatwień dostępu czy nagrywania ekranu, które wydają się nieadekwatne do deklarowanej funkcji aplikacji (np. prosty „chatbot AI” nagle żąda możliwości czytania wszystkiego, co wyświetla się na ekranie). Aplikacja z logo łudząco podobnym do banku lub znanego asystenta AI może też zachowywać się dziwnie – np. uruchamiać się samoczynnie czy utrzymywać stale aktywną ikonę w obszarze powiadomień.

Fałszywe aplikacje ChatGPT i AI na Androida jako nowy wektor ataku

Sukces komercyjny narzędzi takich jak ChatGPT, Gemini czy Copilot ma także psychologiczny efekt uboczny: użytkownicy postrzegają je jako „oficjalne” technologie dużych, zaufanych firm. Skoro logo należy do globalnego koncernu, łatwo założyć, że wszystko jest w porządku. Ta obniżona czujność staje się paliwem dla kampanii takich jak PromptSpy.

W sklepie Google Play faktycznie istnieją oficjalne aplikacje od OpenAI, Google czy Microsoftu. Poza oficjalnym ekosystemem – w internecie, na forach, w komunikatorach – pojawiają się jednak klony i podróbki, które wykorzystują magiczne słowa „ChatGPT”, „AI Assistant”, „Smart Gemini Chat” czy „AI Copilot Pro” w nazwie, opisie lub materiałach marketingowych. Dla osoby mniej technicznej odróżnienie oryginału od fałszywki bywa trudne, zwłaszcza gdy aplikacja jest opisana po angielsku i opatrzona profesjonalnie wyglądającą stroną docelową.

Typowy scenariusz oszustwa wygląda następująco: użytkownik szuka w sieci „aplikacji ChatGPT z dodatkowymi funkcjami”, „AI do personalnych finansów na Androida” albo „asystenta inwestycyjnego opartego na AI”. W wynikach wyszukiwania – czy to w przeglądarce, czy w mediach społecznościowych – trafia na stronę obiecującą unikalne funkcje, których rzekomo „nie ma w oficjalnej aplikacji”. Aby je uzyskać, trzeba pobrać plik APK spoza sklepu. W przypadku PromptSpy nazwa i ikonografia mogą sugerować produkt bankowy lub zaawansowane narzędzie finansowe, co dodatkowo uwiarygadnia ofertę.

Połączenie finansów i AI jest szczególnie niebezpieczne. Użytkownik ma oczekiwanie, że „smart AI” pomoże mu lepiej zarządzać pieniędzmi, znajdzie korzystniejsze lokaty, zoptymalizuje spłaty kart kredytowych czy nawet automatycznie zainwestuje oszczędności. W rzeczywistości przekazuje zdalny dostęp do telefonu przestępcom, którzy mogą wykonać transakcje w jego imieniu. Warto pamiętać, że dynamiczny rozwój usług AI, w tym inwestycje gigantów technologicznych, opisujemy szerzej w tekście Jak inwestycje Microsoftu w sztuczną inteligencję przepisują strategię Big Tech. To właśnie ten wyścig sprawia, że coraz więcej usług finansowych i konsumenckich bazuje na AI – a więc staje się atrakcyjnym celem dla cyberprzestępców.

Dodatkowym kontekstem jest konkurencja między platformami AI. Na innym tekście analizujemy wyścig pomiędzy ChatGPT, Gemini a przygotowywanymi rozwiązaniami Apple, m.in. w artykule Nowa Siri kontra ChatGPT: dlaczego Apple wciąż przegrywa wyścig w AI. Im bardziej asystenci głosowi i chatboty trafiają „pod strzechy”, tym bardziej stają się naturalnym wektorem ataku. PromptSpy to pierwszy głośny przykład malware, które otwarcie wykorzystuje renomę AI i integruje generatywny model w swoim działaniu, ale niemal na pewno nie ostatni.

Jak bezpiecznie używać aplikacji AI na Androidzie: praktyczny przewodnik dla każdego

Dobra wiadomość jest taka, że większość tego typu ataków można skutecznie zneutralizować, stosując kilka prostych zasad. Nie wymagają one zaawansowanej wiedzy technicznej, a jedynie odrobiny konsekwencji i zdrowego rozsądku.

Po pierwsze, kluczowa jest zasada pochodzenia aplikacji. Aplikacje AI, takie jak „ChatGPT”, „Gemini” czy „Copilot”, należy instalować wyłącznie z oficjalnego sklepu Google Play. Przed instalacją warto sprawdzić nazwę wydawcy: dla ChatGPT powinna to być firma OpenAI, dla Gemini – Google, dla Copilota – Microsoft. Jeśli aplikacja o podobnej nazwie pochodzi od nieznanego dewelopera, to poważny sygnał ostrzegawczy. Zdecydowanie należy unikać pobierania plików APK z linków w reklamach, na forach, w komunikatorach czy z niezweryfikowanych stron internetowych.

Po drugie, warto świadomie podchodzić do uprawnień. Aplikacja AI służąca głównie do czatu tekstowego z reguły nie potrzebuje dostępu do usług ułatwień dostępu, nagrywania ekranu czy czytania SMS-ów. Jeżeli podczas instalacji pojawia się prośba o tak szerokie uprawnienia, trzeba zadać sobie pytanie: czy to na pewno konieczne do jej działania? Jeśli odpowiedź brzmi „nie”, rozsądniej jest anulować instalację.

Po trzecie, podstawą jest elementarna „higiena cyfrowa”:

  • regularne aktualizowanie systemu Android i wszystkich aplikacji, co zmniejsza ryzyko wykorzystania znanych luk bezpieczeństwa;
  • włączenie i pozostawienie aktywnej usługi Google Play Protect, która zdejmuje z użytkownika część odpowiedzialności za wykrywanie znanych wariantów malware (w tym PromptSpy), choć nie gwarantuje stuprocentowej ochrony;
  • stosowanie silnego uwierzytelnienia do konta Google oraz aplikacji bankowych, najlepiej z wykorzystaniem dwuskładnikowego logowania (2FA);
  • używanie osobnych PIN-ów lub haseł do odblokowywania telefonu i do aplikacji bankowych, tak aby przechwycenie jednego z nich nie otwierało wszystkich drzwi naraz.

Po czwarte, szczególną ostrożność warto zachować wobec „asystentów finansowych AI”. Jeżeli aplikacja obiecuje „automatyczne inwestowanie dzięki ChatGPT”, „gwarantowane zyski” albo prosi bezpośrednio o dane logowania do banku, należy traktować to jako potencjalne oszustwo. Nawet jeśli aplikacja korzysta z legalnego API ChatGPT czy innego modelu, nie oznacza to, że jej twórcy są godni zaufania.

Bezpieczne korzystanie z AI to nie tylko kwestia ochrony przed malware. To także świadome podejście do tego, jak działają modele, jakie dane przetwarzają i jak wpływają na infrastrukturę cyfrową. Osobom, które chcą spojrzeć na ten temat szerzej – również przez pryzmat środowiskowy i regulacyjny – polecam tekst Czy ChatGPT naprawdę „pije wodę”? Ślad wodny sztucznej inteligencji bez mitów i paniki, który pomaga zrozumieć konsekwencje masowego użycia AI również w kontekście bezpieczeństwa i odpowiedzialności.

Co zrobić, jeśli podejrzewasz infekcję PromptSpy lub podobnym malware

Mimo najlepszych praktyk może się zdarzyć, że użytkownik zainstaluje podejrzaną aplikację – np. rzekomego „asystenta AI” spoza sklepu – albo zauważy niepokojące symptomy: niespodziewane żądania uprawnień, samoczynne uruchamianie się nieznanych aplikacji, dziwne powiadomienia czy nagłe obciążenie baterii. W takiej sytuacji liczy się szybka i uporządkowana reakcja.

Pierwszym krokiem powinno być ograniczenie możliwości działania malware. W praktyce oznacza to wyłączenie transferu danych komórkowych i – jeżeli to możliwe – połączenia Wi‑Fi. Następnie warto wylogować się z aplikacji bankowych na innych, zaufanych urządzeniach oraz zmienić hasła do kluczowych kont (Google, bankowość internetowa, poczta e‑mail), korzystając z bezpiecznego komputera lub telefonu, który nie budzi podejrzeń.

Kolejnym etapem jest próba identyfikacji podejrzanej aplikacji. W ustawieniach Androida należy przejrzeć listę zainstalowanych programów i zwrócić szczególną uwagę na pozycje o nazwach w rodzaju MorganArg, różnego typu „AI Assistant”, „Smart Chat”, „Pro ChatGPT” czy inne, których instalacji użytkownik nie pamięta albo które pojawiły się niedawno w związku z poszukiwaniem „lepszej” aplikacji AI.

W przypadku PromptSpy standardowe odinstalowanie może się nie udać, ponieważ malware blokuje przycisk „Odinstaluj” za pomocą niewidocznych nakładek. Dlatego badacze rekomendują usunięcie go w trybie awaryjnym (Safe Mode), w którym aplikacje firm trzecich są czasowo wyłączone.

Ogólna procedura wejścia w tryb awaryjny na Androidzie wygląda następująco:

  • naciśnij i przytrzymaj przycisk zasilania, aż na ekranie pojawi się menu wyłączenia;
  • długo przytrzymaj opcję „Wyłącz” (lub „Restart”), aż pojawi się komunikat o ponownym uruchomieniu w trybie awaryjnym;
  • potwierdź restart w trybie awaryjnym; po uruchomieniu na ekranie powinna pojawić się informacja, że telefon działa w Safe Mode.

W trybie awaryjnym należy przejść do sekcji Ustawienia → Aplikacje, odszukać fałszywą aplikację (np. MorganArg lub innego podejrzanego „asystenta AI”) i wybrać opcję „Odinstaluj”. Bez aktywnych nakładek PromptSpy nie jest w stanie już blokować tej operacji.

Po usunięciu aplikacji warto wykonać kilka dalszych kroków ostrożności:

  • przeskanować urządzenie renomowanym programem antywirusowym lub antymalware z Google Play;
  • skontaktować się z bankiem, poinformować o incydencie i poprosić o weryfikację ostatnich transakcji oraz ewentualne dodatkowe zabezpieczenia;
  • przez kilka kolejnych dni uważnie monitorować stan kont finansowych i historii zdarzeń w aplikacjach bankowych;
  • w skrajnych przypadkach, gdy istnieją poważne wątpliwości co do integralności systemu, rozważyć pełny reset telefonu do ustawień fabrycznych (po uprzednim wykonaniu bezpiecznej kopii zapasowej najważniejszych danych).

Im szybciej użytkownik zareaguje, tym mniejsze ryzyko strat finansowych i kradzieży danych. W razie wątpliwości warto skonsultować się z działem bezpieczeństwa IT w pracy lub bezpośrednio z pomocą techniczną banku, opisując podejrzane zachowanie telefonu oraz historię instalacji aplikacji.

Przyszłość mobilnego bezpieczeństwa w erze genAI – co oznacza PromptSpy dla użytkowników i firm

PromptSpy nie jest jedynie ciekawostką technologiczną. To sygnał, że w bezpieczeństwie mobilnym wchodzimy w nową fazę. W sierpniu 2025 r. badacze opisywali już PromptLock – ransomware wykorzystujące AI do zwiększenia skuteczności szyfrowania i negocjacji z ofiarami. PromptSpy stanowi kolejny krok: integruje generatywną AI bezpośrednio z logiką nawigacji po systemie operacyjnym. Logiczna konsekwencja jest oczywista – w najbliższych latach możemy spodziewać się kolejnych wariantów malware wyposażonych w moduły AI do automatyzacji i skalowania ataków.

Dla producentów systemów operacyjnych i sklepów z aplikacjami oznacza to poważne wyzwanie. Google, twórcy Androida, a także producenci telefonów będą musieli zrewidować polityki dotyczące usług ułatwień dostępu, nagrywania ekranu oraz monitorowania nietypowych zachowań aplikacji. Usługi takie jak Google Play Protect już dziś blokują znane wersje PromptSpy, ale walka z tego typu zagrożeniami przypomina wyścig zbrojeń: każda nowa metoda wykrywania rodzi nowe metody omijania zabezpieczeń.

Konsekwencje są istotne także dla firm i instytucji finansowych. Banki oraz fintechy będą musiały intensywniej edukować klientów – tłumaczyć, jak rozpoznać fałszywą aplikację bankową czy „czatbotową”, jakie kanały komunikacji są oficjalne, a jakich należy unikać. Równolegle konieczne będą inwestycje w systemy monitorowania transakcji i wykrywania anomalii, które pozwolą wyłapać nietypowe zachowania charakterystyczne dla zdalnej obsługi urządzenia przez przestępców. W szerszej perspektywie wpisuje się to w zmiany strategii Big Tech, o których piszemy w artykule Jak inwestycje Microsoftu w sztuczną inteligencję przepisują strategię Big Tech – wyścig w AI ma nie tylko wymiar innowacyjny, ale też bezpieczeństwa.

Na końcu tej układanki znajduje się jednak zawsze pojedynczy użytkownik. Niezależnie od zaawansowanych technologii ochronnych, to codzienne decyzje konkretnej osoby – skąd pobiera aplikacje, jakie uprawnienia im nadaje, czy ufa reklamom „oficjalnego ChatGPT na Androida” – decydują o powodzeniu lub niepowodzeniu ataku. Generatywna AI nie jest z natury „zła”: jest narzędziem, które może służyć zarówno rozwojowi biznesu i nauki, jak i przestępczości.

Przypadek PromptSpy pokazuje, że dojrzałe korzystanie z aplikacji AI wymaga czegoś więcej niż tylko fascynacji nowymi możliwościami. Potrzebne są elementarna cyberhigiena, krytyczne myślenie i świadomość, że atrakcyjna funkcja czy „sprytna” nazwa aplikacji nie zastąpi sprawdzonego źródła i zdrowego rozsądku. Warto potraktować ten artykuł jako impuls do przejrzenia zainstalowanych na telefonie aplikacji AI, usunięcia tych, których pochodzenia nie jesteśmy pewni, oraz uporządkowania ustawień bezpieczeństwa.

Generatywna sztuczna inteligencja będzie coraz głębiej wnikać w nasze urządzenia, usługi i nawyki. Od nas zależy, czy stanie się przede wszystkim narzędziem rozwoju, czy kolejnym kanałem dla kreatywnych kampanii cyberprzestępców.

, , , , , ,

Sebastian

Leave a Reply

Your email address will not be published. Required fields are marked *