El malware PromptSpy incorpora el uso de la IA Gemini para lograr persistencia y mantenerse activo

PromptSpy emplea un enfoque inédito para mantenerse oculto y activo en dispositivos Android gracias a la utilización de la inteligencia artificial Gemini, lo cual representa la primera vez que un programa malicioso móvil integra IA generativa en el proceso de persistencia para sortear intentos de cierre o eliminación. Según informó ESET a través de un comunicado, este avance ha despertado inquietud en el sector de la ciberseguridad por el salto evolutivo que representa en la sofisticación de las amenazas dirigidas a teléfonos móviles.

PromptSpy destaca como la primera amenaza conocida para Android que incorpora IA generativa en su funcionamiento con el propósito de permanecer operativa de forma prolongada. Tal como detalló la firma de seguridad ESET, el software malicioso utiliza el modelo Gemini de Google para analizar los elementos visuales en pantalla del dispositivo infectado. A partir de esta interpretación, la IA genera instrucciones dirigidas a garantizar que PromptSpy se mantenga anclado en la vista de aplicaciones recientes, un recurso clave que dificulta su cierre manual por parte del usuario y complica su eliminación.

El medio ESET Research puntualizó que este hallazgo marca la primera ocasión en la que se documenta el uso de una herramienta de IA generativa en un componente de persistencia dentro del entorno Android. El investigador de ESET Lukás Stefanko, responsable del descubrimiento, explicó que esta innovación permite que los atacantes adapten el malware a diferentes dispositivos, configuraciones visuales y versiones del sistema operativo sin necesidad de un desarrollo manual para cada variante. De acuerdo con las palabras de Stefanko, la IA facilita la automatización de acciones que tradicionalmente requerían scripts específicos y resultaban más complejas de implementar.

Respecto a su funcionamiento más amplio, ESET detalló que la función principal de PromptSpy radica en el despliegue de un módulo de Virtual Network Computing (VNC). A través de esta herramienta, los operadores del malware pueden observar la pantalla del dispositivo afectado y ejecutar acciones a distancia, ampliando significativamente su grado de control sobre el equipo intervenido. Para ello, PromptSpy aprovecha los Servicios de Accesibilidad de Android, lo que le permite interceptar información relacionada con la pantalla de bloqueo, impedir la desinstalación mediante superposiciones invisibles, recopilar datos del propio dispositivo, realizar capturas estáticas o en vídeo de la pantalla y mantener comunicaciones cifradas con su servidor de mando y control empleando el sistema AES.

El análisis de la campaña realizado por ESET Research indica que las actividades de distribución de PromptSpy han tenido como foco principal a usuarios de Argentina, utilizándose como canal un portal web extranjero vinculado con la aplicación denominada MorganArg. No obstante, la firma aclaró que esta amenaza no se ha detectado circulando en Google Play Store y tampoco aparece registrarse en las métricas propias de ESET, un panorama que sugiere que por el momento podría tratarse de una prueba de concepto o bien de una campaña aún limitada en alcance.

ESET subrayó la importancia que tiene el uso de Gemini en la etapa de persistencia, aclarando que, aunque la IA interviene únicamente en esta función, su rol permite a los operadores adaptar el comportamiento del malware a un espectro mucho más amplio de posibles víctimas. Según publicó ESET, este procedimiento multiplica las posibilidades de que PromptSpy logre sortear los mecanismos de defensa integrados en distintos modelos y versiones del sistema operativo Android.

El investigador Lukás Stefanko precisó: “Aunque PromptSpy utiliza Gemini solo en una de sus funciones, demuestra cómo la integración de estas herramientas puede hacer que el malware sea más dinámico, permitiendo automatizar acciones que con scripts tradicionales serían mucho más difíciles”. La introducción de la IA para interpretar ‘en tiempo real’ el aspecto y configuración del dispositivo compromete los métodos habituales que emplean los usuarios y expertos para eliminar aplicaciones nocivas.

La integración de capacidades de inteligencia artificial generativa, en particular mediante Gemini, refleja un avance relevante en las estrategias aplicadas por los operadores de malware. El medio ESET subrayó que la adaptabilidad operativa que facilita la IA amplía enormemente el alcance potencial de amenazas como PromptSpy.

Según el análisis proporcionado por ESET Research, PromptSpy realiza comunicaciones cifradas con su servidor de mando y control, resguardando la privacidad de los datos interceptados y dificultando la detección de sus actividades. El malware obtiene permisos especiales aprovechando los Servicios de Accesibilidad, lo que le permite acceder a información sensible, interferir con las acciones del usuario y dificultar cualquier intento de desinstalación.

Aunque la amenaza aún no ha llegado al canal oficial de distribución de aplicaciones de Google ni se ha propagado ampliamente, su sola existencia representa, según publicó ESET, una nueva dinámica en el desarrollo de software malicioso en entornos móviles, planteando desafíos adicionales para los investigadores y expertos en seguridad digital.