La firma de seguridad ESET identifica el primer ‘malware’ móvil que emplea Gemini para resistir su eliminación y controlar dispositivos de forma remota.
Investigadores de ESET han identificado PromptSpy, la primera amenaza conocida para Android que integra inteligencia artificial generativa en su flujo de ejecución para lograr persistencia. El ‘malware’ emplea la IA de Google, Gemini, para interpretar elementos en pantalla y generar instrucciones que le permiten fijarse en la vista de aplicaciones recientes, dificultando así su cierre o eliminación. Según la firma de seguridad, es la primera vez que se documenta el uso de un modelo de IA para guiar parte del comportamiento operativo de un ‘malware’ móvil en Android.
➡️ Te puede interesar: Máster Profesional en Ciberseguridad, Ciberinteligencia y Ciberdefensa
El objetivo principal de PromptSpy es desplegar un módulo integrado de Virtual Network Computing (VNC), que permite a los atacantes visualizar la pantalla del dispositivo y ejecutar acciones de forma remota. Además, el ‘malware’ abusa de los Servicios de Accesibilidad para capturar datos de la pantalla de bloqueo, bloquear la desinstalación mediante superposiciones invisibles, realizar capturas y grabaciones de pantalla, recopilar información del dispositivo y comunicarse con su servidor de mando y control mediante cifrado AES.
El papel de la IA en la persistencia del ‘malware’
La inteligencia artificial generativa solo interviene en la función de persistencia, aunque su impacto es significativo. Según el investigador de ESET Lukás Stefanko, descubridor de PromptSpy, esta función ayuda a los atacantes a «adaptarse prácticamente a cualquier dispositivo, diseño o versión del sistema operativo, lo que amplía enormemente el número potencial de víctimas». Stefanko añade que, «aunque PromptSpy usa Gemini solo en una de sus funciones, demuestra cómo la integración de estas herramientas puede hacer que el malware sea más dinámico, permitiendo automatizar acciones que con scripts tradicionales serían mucho más difíciles».
➡️ Te puede interesar: Curso de Prevención y Gestión de Ciberriesgos y Ciberataques
El análisis de ESET Research indica que la campaña se dirige principalmente a usuarios de Argentina y se distribuye a través de un sitio web dedicado de la aplicación MorganArg. Sin embargo, PromptSpy no ha llegado a estar disponible en Google Play y tampoco se ha detectado en la telemetría de ESET. Esto podría indicar, según la compañía, que se trata de una prueba de concepto o de una campaña de distribución limitada.
