بدافزار اندرویدی از جمینای برای سازگاری در لحظه استفاده می‌کند!

در روزهای اخیر، حوزه بدافزارهای اندرویدی با تحولات نگران‌کننده‌ای روبه‌رو بوده است. در روز سه‌شنبه، 18 فوریه 2026 (29 بهمن)، گزارشی منتشر شد که نشان می‌داد برخی تبلت‌ها با بدافزارهای پنهانی عرضه شده‌اند که از پیش در میان‌افزار (Firmware) آن‌ها تعبیه شده بود. اکنون پژوهشگران اعلام کرده‌اند با نمونه‌ای مواجه شده‌اند که از نظر فناوری حتی آینده‌نگرانه‌تر به نظر می‌رسد: بدافزاری برای اندروید که هنگام اجرا از مدل هوش مصنوعی جمینای گوگل بهره می‌گیرد.

بر اساس گزارشی که وب‌سایت BleepingComputer به آن پرداخته است، پژوهشگران شرکت امنیتی ESET خانواده جدیدی از بدافزارهای اندرویدی را شناسایی کرده‌اند که «PromptSpy» نام‌گذاری شده است. برخلاف بدافزار های سنتی که کاملاً بر دستورالعمل‌های از پیش کدنویسی‌شده تکیه دارند، این نمونه در زمان اجرا به مدل هوش مصنوعی مولد جمینای مراجعه می‌کند تا بخشی از رفتار خود را هدایت کند.

ادغام هوش مصنوعی جمینای با بدافزار PromptSpy

در این سناریو، بدافزار اطلاعات مربوط به آنچه در حال حاضر روی نمایشگر دستگاه آلوده دیده می‌شود را برای جمینای ارسال می‌کند و از آن راهنمایی می‌خواهد که گام بعدی چه باشد. چنین رویکردی به آن امکان می‌دهد خود را با تفاوت‌های میان دستگاه‌ها و رابط‌های کاربری مختلف اندروید تطبیق دهد، به‌جای آنکه وابسته به یک اسکریپت ثابت باشد که احتمالاً تنها روی برخی مدل‌های خاص کارایی دارد.

به گفته ESET، این نخستین نمونه شناخته‌شده‌ای محسوب می‌شود که در آن یک بدافزار اندرویدی، هوش مصنوعی مولد را به‌طور مستقیم در جریان اجرای خود ادغام کرده است. هرچند در این نمونه، مؤلفه هوش مصنوعی صرفاً برای یک قابلیت خاص مورد استفاده قرار گرفته، اما همین موضوع نشان می‌دهد مهاجمان می‌توانند از ابزارهای عمومی و دردسترس هوش مصنوعی برای افزایش انعطاف‌پذیری بدافزارها و دشوارتر کردن طراحی راهکارهای دفاعی بهره‌برداری کنند.

فراتر از جنبه نگران‌کننده مرتبط با هوش مصنوعی، PromptSpy در عمل به‌عنوان یک جاسوس‌افزار نیز عمل می‌کند. گزارش‌ها حاکی از آن است که این بدافزار به یک ماژول دسترسی از راه دور داخلی مجهز شده و پس از دریافت مجوزهای لازم قادر است اطلاعاتی مانند فهرست اپلیکیشن‌های نصب‌شده و حتی داده‌های مربوط به صفحه قفل را جمع‌آوری کند. علاوه بر این، سازوکارهایی در آن تعبیه شده که فرآیند حذف را پیچیده‌تر کرده و با تلاش‌های کاربر برای غیرفعال‌سازی آن تداخل ایجاد می‌کند.

تا این لحظه، ESET اعلام کرده است که در داده‌های تله‌متری خود هیچ موردی از PromptSpy یا دراپر (Dropper) مرتبط با آن مشاهده نکرده است؛ در نتیجه هنوز مشخص نیست که این بدافزار به‌صورت فعال در حال انتشار است یا بیشتر در حد یک نمونه اثبات مفهوم (Proof-of-Concept) باقی مانده است. با این حال، پژوهشگران اشاره کرده‌اند که نمونه‌های کشف‌شده از طریق یک دامنه اختصاصی توزیع شده و خود را به‌جای یک بانک بزرگ جا زده‌اند؛ موضوعی که نشان می‌دهد احتمالاً با پروژه‌ای صرفاً آزمایشی روبه‌رو نیستیم.

حتی اگر دامنه انتشار و میزان تأثیر آن در حال حاضر محدود باشد، پیام کلی این رخداد را نمی‌توان نادیده گرفت. هوش مصنوعی مولد دیگر تنها برای تولید محتوای مخرب به کار نمی‌رود، بلکه به‌تدریج در حال شکل‌دهی به رفتار بدافزارها در لحظه است. استفاده مهاجمان از ابزارهای هوش مصنوعی خود گوگل علیه اکوسیستم اندروید، نگرانی‌ها را دوچندان کرده است.

در همین رابطه، یکی از سخنگویان گوگل بیانیه زیر را ارائه کرده است: بر اساس شناسایی‌های فعلی ما، هیچ اپلیکیشنی که حاوی این بدافزار باشد در فروشگاه گوگل پلی یافت نشده است. کاربران اندروید به‌طور خودکار در برابر نسخه‌های شناخته‌شده این بدافزار توسط سرویس Google Play Protect محافظت می‌شوند؛ قابلیتی که به‌صورت پیش‌فرض روی دستگاه‌های اندرویدی مجهز به Google Play Services فعال است. Google Play Protect می‌تواند حتی زمانی که اپلیکیشن‌ها از منابعی خارج از گوگل پلی نصب شده باشند، در صورت شناسایی رفتار مخرب، به کاربران هشدار دهد یا از اجرای آن‌ها جلوگیری کند.

پژوهشگران ESET پیش‌تر یافته‌های خود را با گوگل به اشتراک گذاشته بودند و در گزارش منتشرشده نیز اطمینان‌هایی مشابه آنچه در بیانیه فوق آمده، تکرار شده است. با وجود قابلیت‌هایی که این بدافزار از خود نشان می‌دهد، در مقطع فعلی به نظر می‌رسد میزان خطر برای کاربران اندروید بسیار اندک باشد.