Investigadores del equipo de ESET Research descubrieron el primer caso conocido de malware para Android que abusa de la IA generativa para manipular la interfaz de usuario en función del contexto.
Si bien el aprendizaje automático ya se ha utilizado con fines similares —hace poco, los investigadores de Dr.WEB descubrieron Android.Phantom, que utiliza modelos de aprendizaje automático con TensorFlow para analizar capturas de pantalla de anuncios y hacer clic automáticamente en elementos detectados para cometer fraude publicitario a gran escala—, esta es la primera vez que vemos IA generativa desplegada de esta manera. Debido a que los atacantes se apoyan en ingresarle instrucciones a un modelo de IA mediante prompts (en este caso, Gemini de Google) para guiar la manipulación maliciosa de la interfaz de usuario, hemos denominado a esta familia PromptSpy.
Se trata del segundo malware basado en IA que descubrimos, después de PromptLock en agosto de 2025, que fue el primer caso conocido de ransomware basado en IA.
Aunque la IA generativa se utiliza solo en una parte relativamente menor del código de PromptSpy —la encargada de lograr persistencia—, aun así tiene un impacto significativo en la adaptabilidad del malware. En concreto, Gemini se utiliza para analizar la pantalla actual y proporcionar a PromptSpy instrucciones paso a paso sobre cómo garantizar que la aplicación maliciosa permanezca anclada en la lista de aplicaciones recientes, evitando así que el sistema la elimine fácilmente.
El modelo de IA y el prompt están predefinidos en el código y no pueden modificarse. Dado que el malware para Android a menudo se basa en la navegación por la interfaz de usuario, aprovechar la IA generativa permite a los actores de la amenaza adaptarse más o menos a cualquier dispositivo, diseño o versión del sistema operativo, lo que puede ampliar enormemente el grupo de víctimas potenciales.
El objetivo principal de PromptSpy es desplegar un módulo VNC integrado, que proporciona a los operadores del malware acceso remoto al dispositivo de la víctima. Este malware para Android también abusa del Servicio de Accesibilidad para bloquear la desinstalación con superposiciones invisibles, captura datos de la pantalla de bloqueo y graba vídeo. Se comunica con su servidor de C&C a través del protocolo VNC, utilizando cifrado AES.
A partir de indicios localización por idioma y los vectores de distribución observados durante el análisis, esta campaña parece tener una motivación financiera y parece dirigirse principalmente a usuarios de Argentina. Curiosamente, las muestras analizadas de PromptSpy sugieren que fue desarrollado en un entorno de habla china.
PromptSpy se distribuye a través de un sitio web dedicado y nunca ha estado disponible en Google Play. Los usuarios de Android están protegidos automáticamente contra las versiones conocidas de este malware por Google Play Protect, que está activado por defecto en los dispositivos Android con Google Play Services.
NotiVeraz