PromptSpy tarnt sich als legitime Banking-Anwendung. Nach der Installation fordert die Malware die Aktivierung der Android-Barrierefreiheitsdienste an, eine Berechtigung, die ihr umfassenden Zugriff auf die Benutzeroberfläche des Endgeräts gewährt.
Ihr Ziel: die Bereitstellung eines VNC-Moduls (Virtual Network Computing), eines Protokolls zur Fernsteuerung. Die Angreifer können dann den Bildschirm in Echtzeit einsehen, Text eingeben und auf dem Gerät navigieren, als würden sie es physisch bedienen. PromptSpy ist darüber hinaus in der Lage, die PIN des Sperrbildschirms abzufangen, Bildschirmaktivitäten als Video aufzuzeichnen und jeden Deinstallationsversuch durch unsichtbare Overlay-Elemente zu blockieren.
Was PromptSpy jedoch beispiellos macht, ist die Art und Weise, wie die Malware diese Aktionen orchestriert. Herkömmliche Malware basiert auf starren Skripten, die versagen, sobald sich die Benutzeroberfläche von Gerät zu Gerät unterscheidet. PromptSpy verfolgt einen grundlegend anderen Ansatz: Die Malware nutzt die generative KI Google Gemini, um den Bildschirm zu analysieren und in Echtzeit zu entscheiden, was zu tun ist. Wie der ESET-Forscher Lukáš Štefanko betont, ermöglicht die KI der Malware, sich an praktisch jedes Gerät, jede Bildschirmgröße und jede Oberflächenanordnung anzupassen.
Der Gemini-API-Schlüssel und die Prompts sind vom Angreifer fest im Code der Malware verankert. Nach der Bereitstellung auf dem Endgerät agiert PromptSpy vollständig autonom, ohne jegliches menschliches Eingreifen. Die Malware interagiert mit Gemini auf die gleiche Weise, wie ein Nutzer mit ChatGPT oder einem anderen KI-Assistenten kommunizieren würde: Sie sendet eine XML-Datei, die den vollständigen Bildschirmzustand beschreibt (angezeigter Text, Elementtyp, exakte Position), zusammen mit einer Anweisung in natürlicher Sprache. Gemini analysiert den Kontext und antwortet mit präzisen Handlungsanweisungen. Die Malware führt die Aktion aus, sendet den aktualisierten Bildschirmzustand zurück, und die KI liefert den nächsten Schritt. Dieser Dialog wird in einer Schleife fortgesetzt, bis das Ziel erreicht ist.
Der Angreifer muss nicht vor seinem Bildschirm sitzen, um die Aktionen zu steuern, die Malware handelt dank der KI eigenständig. Dieser konversationsbasierte Ansatz macht die Malware äußerst widerstandsfähig: Wenn sich die Position einer Schaltfläche ändert oder ein Menü auf einem anderen Gerät anders aufgebaut ist, passt sich die KI sofort an. Darüber hinaus vereinfacht dieser Ansatz die Arbeit der Angreifer erheblich. Es müssen keine gerätespezifischen Szenarien mehr programmiert werden — eine einfache Anweisung in natürlicher Sprache genügt.
Das unmittelbare Ziel dieser Schleife ist es, die schädliche Anwendung in der Liste der zuletzt verwendeten Apps von Android zu verankern, um anschließend das VNC-Modul bereitzustellen.
PromptSpy ist kein Einzelfall. Es war bereits nachgewiesen worden, dass generative KI-Tools wie ChatGPT zur Erzeugung von Malware manipuliert werden können, und im August 2025 hatte ESET bereits PromptLock identifiziert, die erste Ransomware, die generative KI nutzt. Mit PromptSpy bestätigt sich der Trend: Cyberkriminelle integrieren generative künstliche Intelligenz nun unmittelbar in ihre Angriffswerkzeuge und machen mobile Bedrohungen anpassungsfähiger und schwerer erkennbar.
Google hat erklärt, dass Play Protect die Nutzer automatisch vor bekannten Versionen dieser Malware schützt. Dieser Schutz bleibt jedoch reaktiv und begrenzt, insbesondere im professionellen Umfeld, in dem Unternehmen heterogene Geräteflotten verwalten, mit BYOD-Herausforderungen konfrontiert sind und Anwendungsinstallationen außerhalb offizieller App Stores bewältigen müssen.
Genau um diese Herausforderungen und die Grenzen nativer Schutzmaßnahmen zu adressieren, ist eine dedizierte mobile Schutzlösung erforderlich.
Pradeo Mobile Threat Defense bietet Echtzeitschutz für mobile Endgeräte und stützt sich dabei auf eine fortschrittliche Verhaltensanalyse von Anwendungen, Netzwerkverkehr und Systemkonfiguration. Im Gegensatz zu Ansätzen, die ausschließlich auf bekannten Signaturen basieren, erkennt die Pradeo-Lösung verdächtige Verhaltensweisen und Zero-Day-Malware.
In einem Umfeld, in dem Bedrohungen wie PromptSpy zeigen, dass künstliche Intelligenz gegen die Nutzer eingesetzt werden kann, ist der Einsatz einer dedizierten mobilen Schutzlösung keine Option mehr, sondern eine Notwendigkeit.