ESETの研究者らは2026年2月19日、実行フローに生成AIを悪用する初のAndroidマルウェア「PromptSpy」を発見したと発表した。PromptSpyはGoogleのGeminiを利用し、侵害デバイスの画面要素を解釈して、悪意あるアプリを最近使ったアプリの一覧にピン留めし永続性を確保する。
主な機能はVNCモジュールの展開による遠隔操作であり、ロック画面データの取得、アンインストールの妨害、スクリーンショット撮影、画面録画なども可能である。コマンド&コントロールサーバーとの通信にはAES暗号化が使用される。アプリ名は「MorganArg」で、JPMorgan Chase銀行(通称Chase Bank)を偽装しているとみられる。言語や配布経路の分析から、金銭目的でアルゼンチンのユーザーを主な標的としている可能性がある。
ESETのテレメトリでは未観測であり、概念実証の段階にとどまる可能性がある。Google Playでの配布実績はなく、ESETはApp Defense Allianceのパートナーとして調査結果をGoogleと共有した。発見者はESET研究者のルカーシュ・シュテファンコである。
From: 
ESET Research discovers PromptSpy, the first Android threat to use generative AI
【編集部解説】
2025年8月、ESETはAIが実行時にランサムウェアのコードを自律的に生成する「PromptLock」を発見しました。そして今回、わずか半年後に登場したPromptSpyは、生成AIの悪用がランサムウェアからAndroidスパイウェアへと領域を広げたことを示しています。
注目すべきは、PromptSpyにおけるGeminiの使われ方です。従来のAndroidマルウェアは、画面上のボタン座標やUI要素を事前にハードコードしていたため、デバイスやOSバージョンが変わると動作しなくなることがありました。PromptSpyは画面のXML情報をGeminiに送信し、JSON形式で操作指示を受け取ることで、この制約を回避しています。生成AIが「目」と「判断力」の役割を果たし、マルウェアにデバイスを問わない適応力を与えているのです。
現時点ではESETのテレメトリで実際の感染は確認されておらず、概念実証の段階にとどまる可能性があります。しかし、専用の配布ドメインやJPMorgan Chase銀行を模した偽サイトの存在が確認されており、実戦投入の意図がまったくないとは言い切れません。また、コード内に簡体字中国語のデバッグ文字列が含まれていたことから、中国語話者による開発環境で作成された可能性がESETにより指摘されています。
PromptSpyが示した「生成AIにUIを解釈させ、操作を動的に決定させる」という手法は、永続性の確保にとどまらず、セキュリティプロンプトの回避や二要素認証画面の突破など、さまざまな悪用に応用できる可能性を秘めています。生成AIの恩恵を享受する私たちは、その同じ技術が攻撃者の手にも渡っているという現実を、改めて認識する必要があります。
【用語解説】
VNC(Virtual Network Computing)
ネットワーク経由で別のコンピューターやデバイスの画面を表示し、遠隔操作を行うためのプロトコルおよび技術の総称である。PromptSpyはこのVNCモジュールを内蔵し、攻撃者に被害者のデバイスへのリモートアクセスを提供する。
永続性(パーシステンス)
マルウェアが感染したデバイス上で、再起動やユーザーの操作後も動作し続ける能力を指す。PromptSpyでは、最近使ったアプリの一覧にピン留めすることでこの永続性を確保している。
AES暗号化
Advanced Encryption Standardの略で、米国国立標準技術研究所(NIST)が標準化した共通鍵暗号方式である。PromptSpyはコマンド&コントロールサーバーとの通信にAES暗号化を使用する。
コマンド&コントロールサーバー(C&Cサーバー)
マルウェアに対して攻撃者が遠隔から命令を送信し、データを受信するために使用するサーバーである。
テレメトリ
セキュリティ製品がユーザーの端末から収集する脅威検知データや動作情報のこと。ESETはこのテレメトリにおいてPromptSpyの検出を確認していない。
概念実証(プルーフ・オブ・コンセプト)
新しい技術や手法が実際に機能することを示すための試作・実験段階のもの。PromptSpyは実際の攻撃での観測がなく、この段階にとどまる可能性がある。
実行フロー
プログラムが起動してから終了するまでの一連の処理の流れを指す。PromptSpyはこの実行フローの中に生成AIへの問い合わせを組み込んでいる。
【参考リンク】
ESET(公式サイト)(外部)
スロバキア本社のサイバーセキュリティ企業。世界200以上の国と地域で1億1,000万人以上のユーザーを保護している。
WeLiveSecurity(外部)
ESETが運営するセキュリティ研究ブログ。脅威分析やマルウェア調査レポートを公開している。
Google Gemini(外部)
Googleが開発・提供する生成AIモデル。PromptSpyはこのGeminiを悪用しUI操作の指示を取得している。
Google Play Protect(外部)
Androidデバイスに標準搭載のセキュリティ機能。毎日2,000億以上のアプリをスキャンし有害アプリを検知する。
App Defense Alliance(外部)
Google、ESET、Lookoutなどが参加するGoogle Playストアの安全性確保を目的としたセキュリティ連携組織。
ESET malware-ioc(GitHub)(外部)
ESETがマルウェアの侵害指標(IoC)を公開するリポジトリ。PromptSpy関連のハッシュ値も掲載されている。
【参考記事】
PromptSpy ushers in the era of Android threats using GenAI(外部)
ESETによる一次情報の技術分析。GeminiへのプロンプトやIoC一覧を含む詳細なレポートである。
PromptSpy is the first known Android malware to use generative AI at runtime(外部)
BleepingComputerによる報道。配布ドメインやChase Bank偽装サイトの詳細を含む独自取材記事。
PromptSpy Android Malware Abuses Gemini AI to Automate Recent-Apps Persistence(外部)
The Hacker Newsの報道。AIエージェントへのペルソナ割り当てなど技術的プロセスを詳述している。
Android malware taps Gemini to navigate infected devices(外部)
The Registerの報道。中国語話者による開発の可能性やPromptLockの経緯にも触れている。
PromptSpy Android Malware Abuses Gemini AI at Runtime for Persistence(外部)
SecurityWeekの報道。透明オーバーレイによるアンインストール妨害の仕組みを具体的に解説している。
PromptSpy: First Android malware to use generative AI in its execution flow(外部)
Help Net Securityの報道。PromptSpyの機能やGoogle Play Protectによる保護について簡潔にまとめている。
First known AI-powered ransomware uncovered by ESET Research(外部)
2025年8月発見のPromptLockに関するESETの技術ブログ。AI搭載マルウェアの前例を記録した重要文献。
【編集部後記】
生成AIが私たちの仕事や創作を支援してくれる一方で、その同じ技術がマルウェアの「適応力」を高めるために使われ始めています。今回のPromptSpyはまだ概念実証の段階とされていますが、AIがデバイスの画面を読み取り、自ら判断して操作するという仕組みは、従来のセキュリティの前提を揺さぶるものではないでしょうか。
皆さんのスマートフォンには、どのようなセキュリティ対策が施されていますか。この機会に一度、確認してみてはいかがでしょうか。
