Detectaron primera amenaza para Android con IA generativa
El equipo de investigación de ESET descubrió PromptSpy, el primer malware para Android que utiliza inteligencia artificial generativa, específicamente Gemini de Google, para asegurar su persistencia en los dispositivos. Esta amenaza, detectada principalmente en Argentina, permite a los atacantes controlar de forma remota el equipo, capturar datos de pantalla y bloquear intentos de desinstalación mediante técnicas de manipulación.
La compañía líder en detección proactiva de amenazas, ESET, ha identificado una evolución crítica en el panorama del cibercrimen con el hallazgo de PromptSpy. Se trata de la primera familia de malware para el sistema operativo Android que abusa de un modelo de lenguaje de gran tamaño (LLM) en su flujo de ejecución. Este descubrimiento se suma a PromptLock, un ransomware impulsado por IA detectado por la misma firma en agosto de 2025, consolidando una tendencia donde los atacantes integran herramientas avanzadas para evadir la seguridad tradicional.
El funcionamiento de PromptSpy destaca por su capacidad de adaptación. El malware utiliza la IA Gemini de Google para interpretar los elementos visuales que aparecen en la pantalla del dispositivo comprometido. A través de instrucciones predefinidas en su código, el modelo guía al malware para realizar acciones que aseguren que la aplicación maliciosa permanezca en la lista de aplicaciones recientes, evitando que el sistema operativo o el usuario la cierren con facilidad. Según Lukáš Štefanko, investigador senior de ESET que lideró el hallazgo, esta integración permite a los actores maliciosos adaptarse a prácticamente cualquier diseño o versión de Android, ampliando significativamente su alcance.
El objetivo principal de esta amenaza es la implementación de un módulo de Virtual Network Computing (VNC). Esta herramienta otorga a los operadores remotos la capacidad de visualizar la pantalla de la víctima en tiempo real y ejecutar comandos a distancia. Entre sus funciones más peligrosas se encuentran la captura de datos de la pantalla de bloqueo, la grabación de video de la actividad del usuario y la recopilación exhaustiva de información técnica del dispositivo. La investigación sugiere que la campaña tiene motivaciones económicas claras, dirigidas específicamente a usuarios en Argentina.
La distribución del malware se realiza mediante un sitio web fraudulento que suplanta la identidad de la entidad financiera Morgan Chase a través de una aplicación denominada MorganArg. ESET confirmó que la amenaza nunca estuvo disponible en Google Play y que, tras informar a Google como parte de la App Defense Alliance, los usuarios cuentan con la protección de Google Play Protect. Para aquellos dispositivos ya infectados, la única vía de eliminación efectiva es el reinicio en Modo Seguro, permitiendo la desinstalación manual de la aplicación desde el menú de ajustes sin la interferencia de las capas invisibles que el malware proyecta para bloquear la acción.
Fuente: tahiana.gonzalez@bmr.cl
La compañía líder en detección proactiva de amenazas, ESET, ha identificado una evolución crítica en el panorama del cibercrimen con el hallazgo de PromptSpy. Se trata de la primera familia de malware para el sistema operativo Android que abusa de un modelo de lenguaje de gran tamaño (LLM) en su flujo de ejecución. Este descubrimiento se suma a PromptLock, un ransomware impulsado por IA detectado por la misma firma en agosto de 2025, consolidando una tendencia donde los atacantes integran herramientas avanzadas para evadir la seguridad tradicional.
El funcionamiento de PromptSpy destaca por su capacidad de adaptación. El malware utiliza la IA Gemini de Google para interpretar los elementos visuales que aparecen en la pantalla del dispositivo comprometido. A través de instrucciones predefinidas en su código, el modelo guía al malware para realizar acciones que aseguren que la aplicación maliciosa permanezca en la lista de aplicaciones recientes, evitando que el sistema operativo o el usuario la cierren con facilidad. Según Lukáš Štefanko, investigador senior de ESET que lideró el hallazgo, esta integración permite a los actores maliciosos adaptarse a prácticamente cualquier diseño o versión de Android, ampliando significativamente su alcance.
El objetivo principal de esta amenaza es la implementación de un módulo de Virtual Network Computing (VNC). Esta herramienta otorga a los operadores remotos la capacidad de visualizar la pantalla de la víctima en tiempo real y ejecutar comandos a distancia. Entre sus funciones más peligrosas se encuentran la captura de datos de la pantalla de bloqueo, la grabación de video de la actividad del usuario y la recopilación exhaustiva de información técnica del dispositivo. La investigación sugiere que la campaña tiene motivaciones económicas claras, dirigidas específicamente a usuarios en Argentina.
La distribución del malware se realiza mediante un sitio web fraudulento que suplanta la identidad de la entidad financiera Morgan Chase a través de una aplicación denominada MorganArg. ESET confirmó que la amenaza nunca estuvo disponible en Google Play y que, tras informar a Google como parte de la App Defense Alliance, los usuarios cuentan con la protección de Google Play Protect. Para aquellos dispositivos ya infectados, la única vía de eliminación efectiva es el reinicio en Modo Seguro, permitiendo la desinstalación manual de la aplicación desde el menú de ajustes sin la interferencia de las capas invisibles que el malware proyecta para bloquear la acción.
Fuente: tahiana.gonzalez@bmr.cl
