PromptSpy es la primera amenaza conocida para Android que integra inteligencia artificial (IA) generativa en su flujo de ejecución para lograr persistencia, auque no ha llegado a estar disponible en Googel Play Store.
PromptSpy utiliza la IA de Google, Gemini, para interpretar elementos que aparecen en pantalla y generar instrucciones paso a paso que le permitan fijarse en la vista de aplicaciones recientes. De este modo, consigue permanecer activa y dificultar su cierre o eliminación.
Se trata del primer caso documentado en el que un 'malware' móvil utiliza un modelo de inteligencia artificial para guiar parte de su comportamiento operativo y la primera vez que se observa el uso de IA generativa con este propósito en Android, como han apuntado desde la firma de seguridad ESET en una nota de prensa.
El objetivo principal del 'malware' es desplegar un módulo integrado de Virtual Network Computing (VNC), que permite a los atacantes ver la pantalla del dispositivo y realizar acciones de forma remota.
El 'malware' abusa de los Servicios de Accesibilidad para capturar datos de la pantalla de bloqueo, bloquear la desinstalación mediante superposiciones invisibles, recopilar información del dispositivo, realizar capturas de pantalla, grabar la pantalla en vídeo y comunicarse con su servidor de mando y control mediante cifrado AES.
La inteligencia artificial generativa solo interviene en la función de persistencia, que ayuda a los atacantes a "adaptarse prácticamente a cualquier dispositivo, diseño o versión del sistema operativo, lo que amplía enormemente el número potencial de víctimas", explica el investigador de ESET Lukás Stefanko, descubridor de PromptSpy.
El análisis de los investigadores de ESET Research indica que la campaña de PromptSpy se dirige principalmente a usuarios de Argentina, y que se distribuye a través de un sitio web dedicado de la aplicación MorganArg.
Sin embargo, esta amenaza no ha llegado a estar disponible en Google Play y aún no se ha observado en la telemetría de ESET, lo que podría indicar que se trata de una prueba de concepto o de una campaña limitada, según apunta la compañía.
"Aunque PromptSpy usa Gemini solo en una de sus funciones, demuestra cómo la integración de estas herramientas puede hacer que el malware sea más dinámico, permitiendo automatizar acciones que con scripts tradicionales serían mucho más difíciles", afirma Stefanko.
