PromptSpy, un malware para Android que usa IA generativa para lograr persistencia
- Seguridad
La amenaza integra IA generativa en su flujo de ejecución para mantenerse activa en el dispositivo. El malware utiliza Google Gemini para interpretar la interfaz y generar instrucciones dinámicas que dificultan su cierre o eliminación, con el objetivo de desplegar un módulo VNC que otorga el control remoto del dispositivo.
ESET ha anunciado el descubrimiento de PromptSpy, un malware para Android que marca un punto de inflexión en la evolución de las amenazas móviles, al integrar IA generativa en su flujo de ejecución para lograr persistencia. Se trata del primer caso documentado en el que un modelo de IA guía parte del comportamiento operativo de un malware móvil.
PromptSpy emplea Google Gemini para interpretar los elementos que aparecen en pantalla y generar instrucciones paso a paso que le permiten fijarse en la vista de aplicaciones recientes. Esta capacidad le permite adaptarse al diseño del dispositivo, a la versión del sistema operativo y a cualquier cambio visual, dificultando su cierre o eliminación. ESET destaca que es la primera vez que se observa el uso de IA generativa con este propósito en Android.
Aunque la IA generativa solo interviene en la persistencia, el objetivo principal del malware es desplegar un módulo integrado de Virtual Network Computing (VNC). Este componente permite a los atacantes ver la pantalla del dispositivo, interactuar con él y ejecutar acciones de forma remota. Además, PromptSpy puede capturar datos de la pantalla de bloqueo, bloquear la desinstalación mediante superposiciones invisibles, recopilar información del dispositivo, realizar capturas de pantalla y grabar vídeo, y comunicarse con su servidor de mando y control mediante cifrado AES.
Como explica el investigador de ESET Lukáš Štefanko, “el objetivo principal de PromptSpy es desplegar un módulo VNC integrado, otorgando a los operadores acceso remoto al dispositivo de la víctima”.
Los indicios lingüísticos y los vectores de distribución apuntan a un targeting regional. El malware se distribuye desde un sitio web dedicado bajo el nombre de MorganArg, posiblemente abreviatura de “Morgan Argentina”, y utiliza un icono inspirado en Morgan Chase. PromptSpy nunca ha estado disponible en Google Play y no aparece en la telemetría de ESET, lo que sugiere que podría tratarse de una prueba de concepto o una campaña limitada.
Debido a que el malware bloquea la desinstalación mediante superposiciones invisibles, la única forma de eliminarlo es reiniciar el dispositivo en Modo Seguro y desinstalar la aplicación maliciosa (MorganArg) desde Aplicaciones.
