When This Started
It's February 2026. SecurityWeek just broke the story. But PromptSpy's footprint on infected devices? That goes back further—researchers are still piecing together the timeline. What we know: the malware's been actively operating, surviving reboots, and doing it through a method that's frankly alarming in its sophistication.
Google's Gemini AI at runtime. That's the vector.
The Discovery
SecurityWeek's investigation revealed PromptSpy wasn't spotted through traditional malware signatures or behavioral analysis alone. Instead, researchers noticed something unusual about how certain Android devices were behaving post-reboot. The malware kept coming back. But more importantly, it was adapting.
The discovery highlighted a gap in runtime vulnerability scanning tools that most organizations rely on. Traditional endpoint protection? It wasn't catching this.
What makes this particularly nasty: the malware doesn't just hide in code. It analyzes on-screen elements in real time and uses Gemini AI to determine its next moves. It's thinking. Or at least, it's making decisions based on AI analysis of what it sees.
Technical Analysis
Here's what's actually happening under the hood. PromptSpy operates by intercepting runtime data and feeding it to Google's Gemini AI model. The AI analyzes the device's current state—what apps are open, what's displayed, what the user's doing—and generates commands that keep the malware persistent across reboots.
Think of it like this: instead of hardcoding instructions, the malware outsources its decision-making to an AI system. That's evasion on a different level.
The runtime vulnerability itself isn't in Gemini (Google's AI isn't compromised). It's in how PromptSpy exploits the runtime environment to make those API calls in the first place. Runtime vulnerability management solutions, like those powered by Dynatrace's runtime vulnerability analytics, aren't specifically designed to catch this pattern. They're built for memory corruption, buffer overflows, and traditional exploits. Not for "malware talking to a cloud AI service to decide if it should hide."
This also raises uncomfortable questions about container runtime vulnerability scanning and similar tools. If your security stack can't see what's happening at the AI integration layer, you've got blind spots. Serious ones.
Damage Assessment
How many devices are infected? SecurityWeek hasn't released a specific number, and that's concerning in itself. The malware's ability to survive reboots means infected users might not even realize what's running on their phone.
The impact potential is massive. Device persistence means the malware can capture credentials, intercept communications, or deploy additional payloads whenever it wants. And it's doing this with AI-driven decision-making that adapts to different device configurations.
This isn't a flash-in-the-pan threat.
Mitigation
For most users: update your device immediately and run a full security scan with your mobile security vendor. Yes, even if your vendor claims they're already protecting you. PromptSpy's runtime vulnerability means some tools might miss it on first pass.
For enterprises: this is where it gets harder. Runtime vulnerability scanning tools need to evolve. You need visibility into AI model API calls made by processes you don't recognize. You need runtime vulnerability analytics that flag suspicious communication patterns to external AI services.
And frankly? This should have been caught sooner. The fact that malware could abuse a major AI system for persistence without setting off wider alarms is a systemic failure.
If you're using Gemini or similar APIs in production, audit which processes can reach them. Restrict access. Treat AI service calls like the security boundary they apparently are.
PromptSpy won't be the last malware to weaponize AI. But it could be the one that finally forces the industry to take runtime AI security seriously.
Коли це почалося
Лютий 2026 року. SecurityWeek щойно опублікував історію. Але слід PromptSpy на інфікованих пристроях? Він тягнеться далі — дослідники все ще відновлюють хронологію. Що ми знаємо: шкідливе ПЗ активно діяло, переживало перезавантаження і робило це методом, який відверто тривожить своєю витонченістю.
Google Gemini AI під час виконання. Ось вектор.
Виявлення
Розслідування SecurityWeek показало, що PromptSpy не було виявлено лише через традиційні сигнатури шкідливого ПЗ чи поведінковий аналіз. Натомість дослідники помітили щось незвичайне в тому, як певні Android-пристрої поводилися після перезавантаження. Шкідливе ПЗ продовжувало повертатися. Але, що важливіше, воно адаптувалося.
Відкриття висвітлило прогалину в інструментах сканування вразливостей під час виконання, на які покладається більшість організацій. Традиційний захист кінцевих точок? Він не виявляв цього.
Що робить це особливо небезпечним: шкідливе ПЗ не просто ховається в коді. Воно аналізує елементи на екрані в реальному часі та використовує Gemini AI для визначення наступних дій. Воно думає. Або принаймні приймає рішення на основі AI-аналізу того, що бачить.
Технічний аналіз
Ось що насправді відбувається під капотом. PromptSpy перехоплює дані під час виконання та подає їх до моделі Google Gemini AI. AI аналізує поточний стан пристрою — які додатки відкриті, що відображається, що робить користувач — і генерує команди, які підтримують стійкість шкідливого ПЗ після перезавантажень.
Уявіть це так: замість жорсткого кодування інструкцій, шкідливе ПЗ делегує прийняття рішень AI-системі. Це ухилення на зовсім іншому рівні.
Сама вразливість під час виконання не в Gemini (AI Google не скомпрометований). Вона в тому, як PromptSpy експлуатує середовище виконання для здійснення цих API-викликів. Рішення для управління вразливостями під час виконання, як-от ті, що працюють на аналітиці вразливостей Dynatrace, не спроєктовані спеціально для виявлення цього шаблону. Вони створені для пошкодження пам'яті, переповнення буфера та традиційних експлойтів. Не для "шкідливого ПЗ, що спілкується з хмарним AI-сервісом, щоб вирішити, чи варто ховатися."
Це також піднімає незручні питання щодо сканування вразливостей контейнерного середовища виконання та подібних інструментів. Якщо ваш стек безпеки не бачить, що відбувається на рівні інтеграції з AI, у вас є сліпі зони. Серйозні.
Оцінка збитків
Скільки пристроїв інфіковано? SecurityWeek не опублікував конкретну цифру, і це само по собі тривожно. Здатність шкідливого ПЗ переживати перезавантаження означає, що інфіковані користувачі можуть навіть не усвідомлювати, що працює на їхньому телефоні.
Потенціал впливу масивний. Стійкість на пристрої означає, що шкідливе ПЗ може перехоплювати облікові дані, перехоплювати комунікації або розгортати додаткові корисні навантаження, коли завгодно. І робить це з AI-керованим прийняттям рішень, що адаптується до різних конфігурацій пристроїв.
Це не короткочасна загроза.
Заходи з мінімізації наслідків
Для більшості користувачів: негайно оновіть пристрій та запустіть повне сканування безпеки за допомогою вашого мобільного постачальника безпеки. Так, навіть якщо постачальник стверджує, що вже захищає вас. Вразливість PromptSpy під час виконання означає, що деякі інструменти можуть пропустити його з першого разу.
Для підприємств: тут стає складніше. Інструменти сканування вразливостей під час виконання мають еволюціонувати. Вам потрібна видимість API-викликів до AI-моделей від процесів, які ви не розпізнаєте. Вам потрібна аналітика вразливостей під час виконання, яка позначає підозрілі шаблони комунікації із зовнішніми AI-сервісами.
І, чесно кажучи? Це мали виявити раніше. Факт, що шкідливе ПЗ могло зловживати великою AI-системою для збереження без спрацювання ширших попереджень — це системна помилка.
Якщо ви використовуєте Gemini або подібні API у продакшні, проведіть аудит того, які процеси можуть до них звертатися. Обмежте доступ. Ставтеся до викликів AI-сервісів як до межі безпеки, якою вони, очевидно, є.
PromptSpy не буде останнім шкідливим ПЗ, що перетворить AI на зброю. Але воно може стати тим, що нарешті змусить індустрію серйозно поставитися до безпеки AI під час виконання.