首例安卓Runtime AI病毒暴光

2 月 20 日消息，网络安全公司 ESET 研究人员发现 PromptSpy，这是首款在运行时（Runtime）直接集成生成式 AI 的安卓恶意软件。

注：Runtime 指软件正在运行的那个时间段。本文中指恶意软件在手机上运行的过程中，实时连接 AI 进行思考和决策，而不是在出厂前就把所有代码写死。

与以往仅利用 AI 生成代码或诈骗文案不同，PromptSpy 调用谷歌 Gemini 模型，来实时调整其在受感染设备上的行为。

根据 ESET 的遥测数据，该恶意软件的首个版本（VNCSpy）于 2026 年 1 月出现，随后的进阶版本 PromptSpy 于 2 月被上传至 VirusTotal。

PromptSpy 引入 AI 的核心目的在于解决“持久化”难题。由于不同品牌的安卓设备在“最近任务”列表中锁定（Pin）应用的操作逻辑各异，传统脚本难以通用。

PromptSpy 为突破此限制，采取了“视觉分析 + 指令反馈”的策略：它将当前屏幕的 XML 数据（含 UI 元素、坐标）发送给 Google Gemini，要求 AI 分析并返回 JSON 格式的操作指令。

恶意软件随后通过安卓无障碍服务（Accessibility Service）执行点击操作，循环直至 AI 确认应用已被成功锁定，从而避免被系统后台清理。

该恶意软件内置 VNC 模块，一旦获取无障碍权限，攻击者即可完全远程控制受害者设备。ESET 指出，PromptSpy 能够实时查看屏幕、上传已安装应用列表、窃取锁屏 PIN 码或密码、录制解锁图案视频，甚至按需截屏和记录用户手势，导致受害者隐私完全暴露。

为对抗用户移除，PromptSpy 设计了狡猾的防御机制。当检测到用户试图卸载应用或关闭无障碍权限时，恶意软件会生成透明的隐形矩形覆盖在“停止”、“结束”、“清除”或“卸载”等系统按钮上。

用户以为点击了卸载按钮，实际上点击的是无效的隐形图层，从而导致卸载操作失败。研究人员建议，受害者需进入安卓安全模式才能有效禁用并移除该恶意软件。

在传播方面，研究人员发现了专门的分发域名（mgardownload [.]com）以及伪装成摩根大通银行（JPMorgan Chase Bank）的钓鱼网页，这暗示该恶意软件可能已被用于实际攻击。