El panorama de la ciberseguridad móvil ha dado un giro inesperado. Investigadores de ESET Research han descubierto una nueva y sofisticada amenaza para Android, bautizada como PromptSpy, que rompe moldes al integrar la inteligencia artificial generativa en su modus operandi. Se trata del primer malware móvil documentado que utiliza un modelo de IA para guiar parte de su comportamiento, lo que representa un paso preocupante en la evolución de los ataques.
La Inteligencia Artificial se infiltra en el malware Android: nace PromptSpy
Este descubrimiento, pone de manifiesto cómo los ciberdelincuentes están comenzando a explotar las capacidades de la IA para hacer sus ataques más adaptables y difíciles de combatir. Prepárense, porque la era del malware inteligente ya está aquí.
¿Qué es PromptSpy y cuál es su innovación?
La característica más llamativa de PromptSpy es su capacidad de emplear el modelo Google Gemini para interpretar la interfaz de usuario de un dispositivo Android comprometido. En lugar de depender de scripts rígidos o adaptados a versiones específicas del sistema operativo, PromptSpy genera instrucciones dinámicas en tiempo real. Esto le permite:
- Lograr persistencia: interpreta la pantalla para generar pasos que le permiten fijarse en la vista de aplicaciones recientes. De esta forma, el malware se mantiene activo y dificulta su cierre o desinstalación, adaptándose a cualquier diseño de dispositivo o versión de Android.
- Adaptabilidad sin precedentes: al usar IA generativa, los atacantes pueden manipular la interfaz de forma dinámica, lo que amplía exponencialmente el número potencial de víctimas al no depender de diseños o versiones de SO específicos.
Es la primera vez que se documenta el uso de IA generativa con este propósito en Android, lo que convierte a PromptSpy en un hito, lamentablemente, en la historia del malware móvil.
Control remoto y robo de información
Aunque la IA generativa desempeña un papel crucial en la fase de persistencia, el objetivo final de PromptSpy es mucho más siniestro. Una vez afianzado en el sistema, el malware despliega un módulo de Virtual Network Computing (VNC) integrado, otorgando a los atacantes un control remoto completo sobre el dispositivo de la víctima. Esto significa que pueden:
- Visualizar la pantalla del teléfono o tableta.
- Realizar acciones de forma remota, como si tuvieran el dispositivo en sus manos.
- Capturar datos sensibles de la pantalla de bloqueo.
- Bloquear la desinstalación mediante superposiciones invisibles, haciendo muy difícil deshacerse de él.
- Recopilar información detallada del dispositivo.
- Realizar capturas de pantalla y grabar la actividad del dispositivo en vídeo.
- Comunicarse con su servidor de mando y control (C2) utilizando cifrado AES para mantener la discreción.
Como señala Lukáš Štefanko, el investigador de ESET que descubrió PromptSpy, la IA hace que el malware sea “más dinámico, permitiendo automatizar acciones que con scripts tradicionales serían mucho más difíciles”.
Un ataque con foco regional... por ahora
Según los primeros indicios, la campaña de PromptSpy parece tener una motivación económica y un objetivo geográfico específico. Se ha observado que apunta principalmente a usuarios en Argentina. La distribución se realiza a través de un sitio web dedicado, donde el malware se presenta bajo el nombre de aplicación “MorganArg”, que podría ser una abreviatura de “Morgan Argentina”, y utiliza un icono que recuerda a la entidad financiera Morgan Chase. Todo esto refuerza la hipótesis de un ataque regionalizado.
Sin embargo, es importante destacar que PromptSpy nunca ha estado disponible en Google Play y, hasta el momento, no se ha observado en la telemetría global de ESET. Esto sugiere que podría tratarse de una prueba de concepto (PoC) o de una campaña inicial muy limitada. No obstante, su existencia ya es una señal de alarma.
Cómo protegerse y eliminar a PromptSpy
La buena noticia es que Google Play Protect, activado por defecto en dispositivos con Google Play Services, ya protege automáticamente a los usuarios de Android frente a las variantes conocidas de PromptSpy, gracias a la colaboración de ESET con la App Defense Alliance. Sin embargo, si por alguna razón el malware consiguiera instalarse, su eliminación requiere un paso adicional debido a sus tácticas de persistencia.
Dado que PromptSpy bloquea la desinstalación superponiendo elementos invisibles en la pantalla, la única forma efectiva de eliminarlo es reiniciar el dispositivo en Modo Seguro. En este modo, las aplicaciones de terceros se deshabilitan temporalmente, permitiendo desinstalarlas sin interferencias:
- Reiniciar en Modo Seguro: habitualmente, hay que mantener pulsado el botón de encendido del dispositivo, luego hacer una pulsación larga sobre la opción “Apagar” y finalmente confirmar “Reiniciar en modo seguro”. Tenga en cuenta que este procedimiento puede variar ligeramente según el fabricante de su dispositivo.
- Desinstalar la aplicación: una vez que el dispositivo se haya reiniciado en Modo Seguro, vaya a “Ajustes” → “Aplicaciones” → “MorganArg” y desinstálela como lo haría con cualquier otra aplicación.
El futuro de las amenazas móviles
El descubrimiento de PromptSpy es un claro recordatorio de cómo la tecnología, incluso la más innovadora como la IA generativa, puede ser pervertida para fines maliciosos. Este malware no solo demuestra la creciente sofisticación de los ataques, sino que también nos obliga a estar más atentos y proactivos en la protección de nuestros dispositivos. La batalla contra el cibercrimen está en constante evolución, y la integración de la IA en el malware es, sin duda, el siguiente gran desafío.