Các nhà nghiên cứu bảo mật của ESET đã phát hiện PromptSpy, mã độc Android đầu tiên lợi dụng trí tuệ nhân tạo tạo sinh (generative AI) – cụ thể là mô hình Gemini của Google – để thao tác giao diện người dùng, giúp mã độc tồn tại dai dẳng trên thiết bị và mở đường cho tin tặc chiếm quyền điều khiển từ xa. Phát hiện này được ESET công bố vào ngày 22/06/2026, đánh dấu lần thứ hai hãng ghi nhận mã độc sử dụng AI sau PromptLock vào tháng 8/2025.
PromptSpy hoạt động như thế nào?
PromptSpy được ESET phát hiện lần đầu vào tháng 2/2026 với hai phiên bản. Phiên bản đầu tiên có tên VNCSpy xuất hiện trên VirusTotal ngày 13/01/2026, do người dùng từ Hong Kong tải lên. Đến ngày 10/02/2026, bốn mẫu mã độc nâng cấp hơn từ Argentina được tải lên, trong đó có PromptSpy. Mã độc này được phân phối qua trang web mgardownload[.]com (hiện đã ngừng hoạt động) và giả mạo ứng dụng ngân hàng Chase Bank với tên gọi MorganArg, nhắm vào người dùng Argentina.
Điểm đặc biệt của PromptSpy là sử dụng Gemini để phân tích giao diện màn hình thiết bị. Mã độc gửi cho Gemini ảnh chụp XML của màn hình hiện tại cùng câu lệnh bằng ngôn ngữ tự nhiên, yêu cầu AI xác định vị trí các phần tử và đưa ra hướng dẫn thao tác (như chạm, vuốt) dưới dạng JSON. Nhờ đó, PromptSpy có thể tự động khóa ứng dụng độc hại vào danh sách "ứng dụng gần đây" (recent apps), ngăn người dùng hoặc hệ thống tắt nó đi. Quá trình này lặp lại cho đến khi Gemini xác nhận thành công.
Khả năng chiếm quyền điều khiển từ xa
Mục tiêu chính của PromptSpy là triển khai mô-đun VNC (Virtual Network Computing) tích hợp sẵn, cho phép tin tặc điều khiển từ xa thiết bị bị nhiễm. Khi người dùng cấp quyền truy cập (accessibility service), mã độc có thể giám sát mọi thao tác, thực hiện chạm, vuốt, nhập văn bản, chụp ảnh màn hình, quay video, đánh cắp dữ liệu màn hình khóa (PIN, mật khẩu, mẫu hình), và gửi danh sách ứng dụng đã cài đặt về máy chủ C&C (54.67.2[.]84) qua giao thức VNC được mã hóa AES.
Ngoài ra, PromptSpy còn lạm dụng quyền truy cập để chặn gỡ cài đặt: khi người dùng cố gắng xóa ứng dụng, mã độc sẽ đặt các lớp phủ trong suốt lên các nút quan trọng (như "Gỡ cài đặt"), khiến thao tác không thể thực hiện. Cách duy nhất để xóa mã độc là khởi động thiết bị ở chế độ an toàn (Safe Mode), nơi các ứng dụng bên thứ ba bị vô hiệu hóa.
Nguồn gốc và tác động
Phân tích mã nguồn cho thấy PromptSpy chứa các chuỗi gỡ lỗi bằng tiếng Trung giản thể và xử lý các sự kiện trợ năng bằng tiếng Trung, cho thấy mã độc có khả năng được phát triển trong môi trường nói tiếng Trung. Tuy nhiên, ESET chưa ghi nhận PromptSpy trong hệ thống giám sát của mình, cho thấy mã độc có thể vẫn đang ở giai đoạn thử nghiệm (proof-of-concept). Dù vậy, sự tồn tại của các tên miền phân phối cho thấy các biến thể nhắm vào người dùng Argentina đã xuất hiện.
ESET đã chia sẻ phát hiện với Google thông qua App Defense Alliance. Google Play Protect, tính năng bảo vệ mặc định trên thiết bị Android có Google Play, sẽ tự động bảo vệ người dùng khỏi các phiên bản đã biết của mã độc này.
Bảng so sánh các tính năng của PromptSpy
| Tính năng | Mô tả |
|---|---|
| Sử dụng AI | Dùng Gemini để phân tích giao diện và hướng dẫn thao tác nhằm duy trì tồn tại |
| Mục tiêu chính | Triển khai VNC, cho phép điều khiển từ xa thiết bị |
| Phương thức lây nhiễm | Phân phối qua trang web giả mạo, không qua Google Play |
| Đối tượng nhắm | Người dùng Argentina, giả mạo ngân hàng Chase Bank |
| Khả năng chống gỡ | Lớp phủ trong suốt chặn gỡ cài đặt; chỉ xóa được ở chế độ Safe Mode |
| Trạng thái hiện tại | Chưa được ghi nhận trong thực tế, có thể là proof-of-concept |
Ảnh: 51581 / Pixabay
