El equipo de investigación de ESET ha identificado PromptSpy, el primer malware conocido para Android que abusa de la inteligencia artificial generativa en su flujo de ejecución. Esta amenaza utiliza el modelo Gemini de Google para interpretar elementos visuales en la pantalla y guiar acciones maliciosas destinadas a mantener la persistencia en el dispositivo.
Puntos clave de la investigación
- IA como motor de persistencia: PromptSpy utiliza Gemini para analizar la pantalla y recibir instrucciones sobre cómo evitar que el sistema elimine la aplicación maliciosa de la lista de apps recientes.
- Espionaje avanzado: El malware puede capturar datos de la pantalla de bloqueo, realizar grabaciones de vídeo de la actividad del usuario y recopilar información sensible del dispositivo.
- Acceso remoto (VNC): Su objetivo principal es implementar un módulo de Virtual Network Computing, permitiendo a los atacantes controlar el dispositivo de forma remota.
“El uso de IA generativa permite a los actores maliciosos adaptarse a prácticamente cualquier dispositivo o versión de Android, ampliando enormemente el número de víctimas potenciales”, afirma Lukáš Štefanko, investigador de ESET.
Distribución y protección
PromptSpy se distribuye a través de sitios web fraudulentos bajo el nombre de MorganArg, buscando suplantar la identidad de entidades financieras. Aunque la campaña parece estar enfocada en usuarios de Argentina, su impacto es una advertencia global sobre la evolución del malware.
El dropper malicioso solicita permisos críticos para proceder con la instalación de PromptSpy.
Es importante destacar que el malware bloquea los intentos de desinstalación comunes mediante la superposición de elementos invisibles. La única forma de eliminarlo es reiniciando el dispositivo en Modo Seguro y procediendo a la desinstalación desde los ajustes de aplicaciones.
Afortunadamente, los usuarios cuentan con la protección de Google Play Protect, que detecta y bloquea automáticamente versiones conocidas de esta amenaza.
Para seguir aprendiendo:
Mantenete al tanto de las investigaciones más avanzadas de ESET en seguridad e Inteligencia Artificial:
- WeLiveSecurity: Informe técnico completo sobre PromptSpy e IA generativa en Android.
- Threat Intelligence: Servicios avanzados de inteligencia de amenazas de ESET.
- Conexión Segura: Nuestro podcast de ciberseguridad en Spotify.