ESET이 Google Gemini를 활용한 최초의 안드로이드 바이러스를 발견했습니다 – PromptSpy

프롬프트스파이란 무엇인가?

ESET 회사의 개발자들은 Android용 새로운 악성코드인 프롬프트스파이를 발견했습니다. 이는 Google Gemini 챗봇에 직접 접근하여 API를 사용하고 생성형 AI 기능을 활용해 감염된 기기에 "정착"하는 최초의 바이러스로 평가됩니다.

프롬프트스파이 작동 방식
1. Gemini 연결

악성코드는 사전에 준비된 요청을 Gemini에 보내 단계별 지침을 받습니다. 이 지침을 사용해 장치 화면(예: 이미지 인식)을 분석하고 자신을 최근 앱 목록에 남기는 방법을 결정합니다.

2. 원격 접근 모듈 설치

사용자가 MorganArg 애플리케이션(실제는 악성코드) 설치를 승인하면 프롬프트스파이는 공격자들이 제어하는 서버와 연결해 나머지 코드를 다운로드합니다. 이 코드에는 가상 네트워크(VNC) 모듈과 특수 기능 서비스 접근 요청이 포함돼 Android 기기를 원격으로 제어할 수 있게 합니다.

3. 일반적인 삭제 방식을 우회

악성코드는 화면 위에 "투명 사각형"을 겹쳐 놓아 중요한 영역의 터치를 차단하고 애플리케이션 강제 종료를 어렵게 만듭니다. 안전 모드에서만 삭제할 수 있으며, 이 모드에서는 서드파티 프로그램이 비활성화됩니다.

4. 추가 기능

- 화면 잠금 PIN 코드 가로채기 가능
- 스와이프, 텍스트 입력 등 화면 동작 기록
- 기기를 물리적으로 조작하는 것처럼 보이는 인터랙션 시뮬레이션

출처 및 공격 목적
- 지역적 타깃: 프롬프트스파이가 배포된 피싱 사이트는 *JPMorgan Chase Argentina* 브랜드를 사용해 아르헨티나 사용자들을 대상으로 했습니다.
- 네트워크 등장: 이 바이러스는 아르헨티나에서 Google VirusTotal에 업로드된 샘플을 통해 발견되었습니다.
- 중국 흔적: 코드에는 중국어 문구가 포함돼 있어 개발이 중국에서 이루어진 것으로 추정됩니다.

방어 방법
- Google Play Protect: ESET에 따르면 Google의 보호 서비스는 이미 프롬프트스파이를 차단하고 있으며, 해당 앱은 아직 Play Market에 등록되지 않았습니다.
- OS 및 애플리케이션 업데이트: 최신 Android 보안 패치를 설치하고 신뢰할 수 있는 출처에서만 프로그램을 다운로드하세요.
- 권한 부여 주의: 검증되지 않은 애플리케이션 설치를 요청받았을 때, 특히 특수 기능 서비스 접근을 요구하면 거절하세요.

결론
프롬프트스파이는 생성형 AI 서비스를 활용해 악성코드가 기기와 OS에 적응할 수 있는 새로운 수준의 상호작용을 보여줍니다. Gemini 덕분에 바이러스는 어떤 장치에도 대응하며 감염 위험이 높아집니다. 삭제가 어려워도 안전 모드를 통해 제거 가능하고, Google Play Protect가 이미 사용자 보호를 제공하고 있습니다