ESET descubrió el primer virus para Android que utiliza Google Gemini – PromptSpy

¿Qué es PromptSpy?

Los desarrolladores de la compañía ESET han descubierto un nuevo malware para Android llamado PromptSpy. Es el primer virus que se comunica directamente con el chatbot Google Gemini a través de su API y utiliza las capacidades de IA generativa para “aferrarse” al dispositivo infectado.

Cómo funciona PromptSpy
1. Conexión a Gemini

El malware envía solicitudes preelaboradas a Gemini, recibiendo instrucciones paso a paso. Con estas indicaciones analiza la pantalla del dispositivo (por ejemplo, reconoce imágenes) y determina cómo mantenerse en la lista de aplicaciones recientes.

2. Instalación de un módulo de acceso remoto

Una vez que el usuario acepta instalar la aplicación MorganArg (en realidad es malware), PromptSpy se conecta al servidor controlado por los atacantes y descarga la parte restante del código. En él está implementado un módulo VNC y solicitudes de acceso a servicios de accesibilidad, lo que permite controlar remotamente el dispositivo Android.

3. Evitación de métodos habituales de eliminación

El malware coloca “rectángulos transparentes” sobre la pantalla, bloqueando toques en zonas críticas y dificultando el cierre forzado de la aplicación. Solo se puede eliminar mediante el modo seguro, donde las aplicaciones de terceros están deshabilitadas.

4. Funciones adicionales

- Capacidad para interceptar códigos PIN de bloqueo de pantalla.
- Grabación de acciones en pantalla (deslises, entrada de texto).
- Simulación de interacción física con el dispositivo, como si un operador lo sostuviera en sus manos.

Origen y objetivo del ataque
- Orientación regional: El sitio phishing a través del cual se distribuía PromptSpy utilizaba la marca *JPMorgan Chase Argentina*, apuntando al público objetivo – usuarios de Argentina.
- Aparición en línea: El virus fue detectado después de que muestras fueran cargadas desde Argentina a la plataforma Google VirusTotal.
- Huellas chinas: En el código aparecen fragmentos en chino, lo que confirma la hipótesis de desarrollo del malware en China.

Cómo protegerse
- Google Play Protect: Según ESET, el servicio de protección de Google ya bloquea PromptSpy y la aplicación aún no se encuentra en la tienda Play Market.
- Actualizaciones del sistema operativo y aplicaciones: Instale las últimas actualizaciones de seguridad de Android y use solo fuentes verificadas para descargar programas.
- Precaución con los permisos: No acepte solicitudes de instalación de aplicaciones no verificadas, especialmente si piden acceso a servicios de accesibilidad.

Conclusiones
PromptSpy demuestra un nuevo nivel de interacción entre malware e IA generativa. Gracias a Gemini, el virus puede adaptarse a cualquier dispositivo y sistema operativo, aumentando el riesgo de infección. Aunque su eliminación es complicada, el modo seguro permite deshacerse de él, y los mecanismos integrados de Google Play Protect ya ofrecen protección a los usuarios.