– PIXABAY – Archivo
MADRID, 24 Feb. (CIBERPRO) –
PromptSpy representa la primera amenaza conocida para Android que incorpora inteligencia artificial (IA) generativa en su proceso operativo para mantener su presencia, aunque no está disponible en Google Play Store.
PromptSpy se basa en la IA de Google, Gemini, para analizar elementos visuales en pantalla y crear instrucciones detalladas que faciliten su permanencia en la vista de aplicaciones recientes. Así, se logra dificultar su cierre o eliminación.
Este es el primer caso registrado en el que un ‘malware’ móvil utiliza un modelo de inteligencia artificial para influir en su funcionamiento, y es la primera ocasión en que se observa el uso de IA generativa con este objetivo en Android, según informan desde la firma de seguridad ESET en un comunicado.
El propósito principal del ‘malware’ es implementar un módulo integrado de Virtual Network Computing (VNC), que permite a los atacantes visualizar la pantalla del dispositivo y realizar acciones de forma remota.
Este ‘malware’ exploita los Servicios de Accesibilidad para recoger datos de la pantalla de bloqueo, evitar su desinstalación mediante superposiciones invisibles, recopilar información del dispositivo, hacer capturas de pantalla, grabar la pantalla en vídeo y comunicarse con su servidor de control mediante cifrado AES.
La inteligencia artificial generativa solo se utiliza en la función de persistencia, lo que ayuda a los atacantes a «adaptarse a prácticamente cualquier dispositivo, diseño o versión del sistema operativo, aumentando así significativamente el número potencial de víctimas», explica el investigador de ESET, Lukás Stefanko, quien descubrió PromptSpy.
Según el análisis de los investigadores de ESET Research, la campaña de PromptSpy tiene como objetivo principal a usuarios en Argentina, distribuyéndose a través de un sitio web específico para la aplicación MorganArg.
Sin embargo, esta amenaza no ha llegado a estar disponible en Google Play, y hasta el momento no se ha detectado en la telemetría de ESET, lo que podría sugerir que es una prueba de concepto o una campaña restringida, según indica la compañía.
«A pesar de que PromptSpy utiliza Gemini solo en una de sus funciones, muestra cómo la integración de estas herramientas puede hacer que el malware sea más dinámico, permitiendo la automatización de acciones que serían mucho más complicadas con guiones tradicionales», comenta Stefanko.
