Nový virus pro Android nejde smazat a sám se rozhoduje, kam kliknout. Kvůli využívání umělé inteligence je extrémně zákeřný
Malware PromptSpy posílá popis obrazovky telefonu do AI modelu Gemini a podle odpovědi sám kliká, scrolluje a blokuje vlastní odinstalaci.
Obsah článku
Představte si škodlivou aplikaci, která nepotřebuje vědět, jaký máte telefon, jakou verzi systému ani kde přesně na displeji leží tlačítko „Odinstalovat“. Stačí jí přečíst si, co vidíte vy, zeptat se umělé inteligence a ta jí řekne, kam ťuknout. Přesně takhle funguje PromptSpy, první známý Android malware, který za běhu využívá generativní AI k navigaci po cizím rozhraní. Bezpečnostní firma ESET jeho technickou analýzu zveřejnila na WeLiveSecurity v únoru 2026 a označila ho za nástup nové éry mobilních hrozeb.
Jak přesně funguje navigace přes umělou inteligenci
Starší Android malware spoléhal na pevně dané souřadnice nebo názvy prvků rozhraní. Stačilo, aby výrobce telefonu posunul tlačítko o pár pixelů nebo přejmenoval položku v menu, a skript selhal. PromptSpy tohle řeší radikálně jinak.
Jakmile se dostane do telefonu, využije služby usnadnění (Accessibility Services) k tomu, aby sejmul aktuální obrazovku jako XML popis: texty, názvy prvků, typy tříd, souřadnice. Tento popis pošle do Gemini, tedy do velkého jazykového modelu od Googlu. Zpátky dostane JSON instrukci: ťukni sem, přejeď prstem tam, podrž tady. A tenhle cyklus opakuje v nekonečné smyčce, dokud AI nepotvrdí, že cíl byl splněn.
Model i prompt jsou napevno zakódované v aplikaci. AI neřídí celý útok, nerozhoduje, koho napadnout ani jaká data krást. Slouží jako navigátor. Ale právě to je zlomové: malware se díky tomu přizpůsobí prakticky jakémukoli telefonu, jakémukoli skinu Androidu a jakékoli verzi systému. Není to skript, který se rozbije. Je to agent, který se adaptuje.
Proč ho „nejde smazat“ a co to přesně znamená
Formulace „nejde smazat“ si zaslouží upřesnění. PromptSpy není nesmazatelný v absolutním smyslu, neukrývá se v jádře systému ani nepřepisuje firmware. Jeho trik je jiný a v praxi stejně účinný: sabotuje standardní cestu k odinstalaci.
Konkrétně dělá dvě věci:
- Překrývá tlačítko odinstalace neviditelnými prvky. Když se pokusíte aplikaci klasicky odebrat přes Nastavení, na místě potvrzovacího tlačítka leží průhledná vrstva, která váš dotyk pohltí. Vidíte správnou obrazovku, ale ťukáte do prázdna.
- Připíná se do seznamu nedávných aplikací. Tím ztěžuje její zavření a brání systému, aby ji automaticky uklidil z paměti.
Obojí zajišťuje právě přes Accessibility Services, a právě tady přichází ke slovu Gemini. Malware nemusí předem vědět, jak vypadá menu odinstalace na vašem konkrétním telefonu. Zeptá se AI, ta mu řekne, kde je co, a on podle toho rozmístí překryvy nebo provede potřebné akce.
Cesta ven existuje, ale vyžaduje nouzový režim. Podržíte tlačítko napájení, dlouze stisknete „Vypnout“, potvrdíte restart do Safe Mode. V něm jsou aplikace třetích stran deaktivované, překryvy nefungují a podezřelou aplikaci (v analyzovaných vzorcích se tvářila jako „MorganArg“) můžete normálně odinstalovat. Pokud příznaky přetrvávají, Google doporučuje jako krajní řešení tovární reset.
Co všechno PromptSpy umí kromě přežívání
Navigace přes AI je nejzajímavější vlastnost, ale zdaleka ne jediná. PromptSpy je plnohodnotný nástroj vzdáleného přístupu:
- VNC v reálném čase – útočník vidí váš displej a může s ním interagovat, jako by telefon držel v ruce.
- Zachytávání PINu a hesel – malware monitoruje uzamčenou obrazovku a zaznamenává, co zadáváte.
- Snímky obrazovky a video – průběžně pořizuje snímky a nahrávky displeje a odesílá je na řídicí server.
- Exfiltrace dat – veškerá komunikace směřuje na C2 server útočníků.
Finanční motiv je zřejmý. Analyzované vzorky obsahovaly falešný bankovní branding a cílily na argentinské uživatele. První verze rodiny VNCSpy se na VirusTotal objevila 13. ledna 2026 z Hongkongu, pokročilejší PromptSpy pak 10. února z Argentiny. ESET navíc v kódu našel debug řetězce ve zjednodušené čínštině, což naznačuje vývoj v čínsky mluvícím prostředí, byť to samo o sobě není definitivní atribuce.
Hrozí to i českým uživatelům?
Přímé důkazy míří na Argentinu: španělské jazykové stopy, značka MorganArg, falešná bankovní stránka. Aktivní kampaň cílící na Česko z veřejných zdrojů doložená není. Jenže právě v tom spočívá problém, technika je přenositelná. Útočníkovi stačí upravit návnadu, branding a prompt. O samotnou navigaci po telefonu se postará Gemini, ať už je rozhraní v češtině, němčině nebo korejštině.
NÚKIB sice k PromptSpy samostatné varování nevydal, ale v červnovém materiálu o AI frontier modelech upozornil, že nové modely mohou krátkodobě zvýhodnit útočníky a urychlit zneužití zranitelností. PromptSpy je přesně ten typ hrozby, o které mluví.
Podle nás je důležitější než aktuální rozsah kampaně samotný precedent. ESET sám připouští, že může jít o proof of concept. Ale princip funguje, a jakmile princip funguje, je otázkou času, než ho převezme někdo s většími ambicemi.
Jak se chránit a co si zkontrolovat hned teď
Google Play Protect proti známým verzím PromptSpy chrání automaticky a skenuje i aplikace nainstalované mimo obchod. Jenže „známé verze“ je klíčové slovní spojení, u nových modifikací stoprocentní záchyt nikdo slíbit nemůže.
Praktické kroky, které riziko výrazně snižují:
- Instalujte jen z Google Play. PromptSpy se šířil přes vlastní web, ne přes oficiální obchod.
- Zkontrolujte Accessibility Services. Nastavení → Usnadnění: odeberte oprávnění aplikacím, které tam nemají co dělat.
- Restricted settings neschvalujte naslepo. Pokud vás nová aplikace žádá o přístup ke čtení obrazovky nebo ovládání zařízení, je to varovný signál.
- Aktualizujte systém. Bezpečnostní aktualizace Androidu i systémové aktualizace Google Play záplatují známé zranitelnosti.
- Zvažte Advanced Protection. Na podporovaných zařízeních blokuje instalaci neznámých aplikací a omezuje služby usnadnění na ověřené nástroje.
Varovné příznaky nákazy: nečekaná výzva k povolení citlivých oprávnění, obrazovka „Loading, please wait“, nemožnost odinstalovat aplikaci běžným způsobem, náhlé zpomalení telefonu nebo bezpečnostní upozornění od Googlu.
ESET nález sdílel s Googlem. Ten veřejně popisuje monitoring zneužití Gemini API, ale jeho bezpečnostní filtry jsou primárně obsahové, cílí na nenávistný obsah, obtěžování nebo nebezpečné instrukce. Scénář „pošli mi XML obrazovky a vrať navigační pokyny“ mezi ně zjevně nespadá. A přesně v téhle mezeře PromptSpy žije.