El primer malware que piensa con IA
Investigadores de la firma de ciberseguridad ESET han descubierto lo que consideran un hito preocupante en la evolución del malware móvil: PromptSpy, el primer troyano Android que utiliza Google Gemini, la inteligencia artificial generativa de Google, como parte de su flujo de ejecución en tiempo real.
A diferencia del malware tradicional que sigue instrucciones pre-programadas, PromptSpy consulta a Gemini AI para analizar la pantalla del dispositivo infectado y recibir instrucciones paso a paso sobre cómo mantenerse activo, evitar ser cerrado por el usuario y bloquear su propia desinstalación.
Cómo funciona PromptSpy
El malware se distribuye disfrazado como una aplicación bancaria legítima llamada MorganArg, que simula ser de JPMorgan Chase. Una vez instalado, PromptSpy activa múltiples capacidades maliciosas que lo convierten en una amenaza seria para cualquier usuario de Android.
Entre sus funciones principales se encuentran la captura de datos de la pantalla de bloqueo, el bloqueo de intentos de desinstalación, la recopilación de información del dispositivo, la toma de capturas de pantalla y la grabación de la actividad en pantalla como video. Además, permite el control remoto completo del dispositivo mediante VNC.
El rol de Gemini AI en el ataque
Lo que hace único a PromptSpy es cómo utiliza la inteligencia artificial. El malware envía capturas de la pantalla actual a Gemini y le pide instrucciones sobre cómo mantenerse fijado en la lista de aplicaciones recientes. Gemini procesa la información y responde con instrucciones en formato JSON que le dicen al malware exactamente qué acción realizar y dónde tocar en la pantalla.
Este enfoque permite que el malware se adapte a diferentes versiones de Android y configuraciones de dispositivos sin necesidad de actualizaciones manuales por parte de los atacantes. La IA resuelve los problemas de compatibilidad en tiempo real.
Quiénes están en riesgo
Según el análisis de ESET, la campaña parece estar dirigida principalmente a usuarios en Argentina, basándose en las pistas de localización del idioma y los vectores de distribución observados. Sin embargo, la técnica podría replicarse fácilmente para atacar usuarios en cualquier país de habla hispana o del mundo.
Hasta el momento, PromptSpy no ha sido detectado en la telemetría de ESET, lo que sugiere que podría tratarse de una prueba de concepto. Sin embargo, el hecho de que exista demuestra que los cibercriminales ya están explorando activamente el uso de IA generativa para potenciar sus ataques.
Cómo protegerte
Para protegerte de amenazas como PromptSpy, los expertos recomiendan instalar aplicaciones únicamente desde Google Play Store y nunca desde enlaces enviados por SMS o correo electrónico. Mantén tu dispositivo actualizado con los últimos parches de seguridad y utiliza una solución antivirus confiable para Android.
Si sospechas que tu dispositivo está infectado, reinicia en modo seguro, revisa las aplicaciones instaladas y elimina cualquiera que no reconozcas. En casos graves, un restablecimiento de fábrica es la opción más segura para eliminar cualquier rastro del malware.
Lo que esto significa para el futuro
PromptSpy marca el inicio de una nueva era en el malware móvil. Si los atacantes pueden usar IA generativa para hacer que su malware se adapte automáticamente a cualquier dispositivo, las defensas tradicionales basadas en firmas y patrones conocidos quedarán obsoletas más rápido de lo esperado. La carrera entre atacantes y defensores acaba de acelerarse significativamente.
