loader

PromptSpy: el inicio de las amenazas Android impulsadas por IA generativa

Promptspy y la nueva generación de amenaza hecha con IA

La inteligencia artificial ya no solo optimiza procesos legítimos. También está comenzando a redefinir la forma en que se desarrolla el malware.Investigadores de ESET descubrieron PromptSpy, el primer malware conocido para Android que integra inteligencia artificial generativa dentro de su flujo de ejecución. Este hallazgo marca un punto de inflexión: ya no hablamos solo de automatización tradicional, sino de amenazas capaces de adaptarse dinámicamente al entorno del dispositivo comprometido.

Desde Lockbits, como distribuidor oficial de ESET, analizamos por qué este descubrimiento es relevante para empresas y usuarios.

¿Qué hace diferente a PromptSpy?

PromptSpy utiliza el modelo Gemini de Google para interpretar en tiempo real los elementos que aparecen en pantalla en el dispositivo infectado.

A diferencia del malware tradicional —que depende de coordenadas fijas o scripts rígidos— PromptSpy envía a la IA un volcado XML de la interfaz visible y recibe instrucciones precisas sobre qué gesto ejecutar: tocar, mantener presionado o deslizar.

¿El objetivo?
 Mantener la aplicación maliciosa bloqueada en la lista de apps recientes para evitar que el usuario la cierre.

Aunque la IA solo interviene en la fase de persistencia, su impacto es significativo: permite que el malware se adapte a distintos modelos de teléfono, versiones de Android y capas de personalización del fabricante.

Es un cambio estructural en la forma de diseñar amenazas.

Más que persistencia: control remoto total

El propósito principal de PromptSpy no es la manipulación visual, sino algo más crítico: desplegar un módulo VNC integrado que otorga a los atacantes acceso remoto completo al dispositivo.

Una vez que el usuario concede permisos de Accesibilidad, el operador puede:

  • Ver la pantalla en tiempo real

  • Ejecutar gestos y toques

  • Interceptar datos del lockscreen (PIN, patrón)

  • Tomar capturas de pantalla

  • Grabar actividad en video

  • Obtener información del dispositivo

La comunicación con el servidor de comando y control se realiza mediante el protocolo VNC con cifrado AES.

En términos prácticos, el atacante puede operar el teléfono como si lo tuviera físicamente en la mano.

Un posible foco en Argentina

El análisis sugiere que esta campaña tendría motivación financiera y estaría dirigida principalmente a usuarios en Argentina. Las muestras observadas indican su distribución mediante sitios web dedicados que suplantaban identidad bancaria.

Además, ciertos indicios técnicos —como cadenas de depuración en chino simplificado— sugieren que el desarrollo se realizó en un entorno de habla china.

Si bien PromptSpy no ha sido observado aún en telemetría activa, la existencia de dominios de distribución apunta a que podría estar circulando o haber sido probado en escenarios reales.

El verdadero cambio: malware que decide

PromptSpy demuestra algo más profundo que una nueva técnica de persistencia.

Demuestra que la IA generativa puede:

  • Analizar interfaces dinámicas

  • Tomar decisiones contextuales

  • Coordinar acciones multietapa

  • Adaptarse a cambios sin necesidad de reprogramación manual

En lugar de depender de código rígido, el malware delega la interpretación del entorno a un modelo de IA.

Eso reduce la fragilidad ante cambios de sistema y amplía el potencial de víctimas.

Qué significa esto para la seguridad

Este hallazgo confirma que la inteligencia artificial se está integrando en el desarrollo ofensivo.

Si los atacantes pueden utilizar IA para automatizar decisiones y adaptarse en tiempo real, las estrategias defensivas también deben evolucionar:

  • Monitoreo basado en comportamiento

  • Detección avanzada de abuso de permisos

  • Control estricto de servicios de Accesibilidad

  • Protección activa contra aplicaciones fuera de tiendas oficiales

Google Play Protect protege automáticamente contra versiones conocidas de esta amenaza, y ESET continúa monitoreando este tipo de evolución en el ecosistema Android.

Conclusión

PromptSpy no es solo otro malware. Es una señal temprana de cómo la IA generativa puede transformar el panorama de amenazas móviles.

El uso de modelos como Gemini para interpretar interfaces y ejecutar acciones dinámicas muestra que el cibercrimen está experimentando con nuevas capacidades.

La pregunta ya no es si la IA será utilizada en malware. Es cómo evolucionará su integración en los próximos años.

En Lockbits, junto a ESET, seguimos monitoreando estas tendencias para anticipar riesgos y fortalecer la protección frente a una nueva generación de amenazas móviles.

Si sientes que necesitas una guía ante los cambios tan vertiginosos que estamos viviendo en el mundo digital, estamos aquí para ayudarte. Escríbenos https://lockbits.cl/contacto/  

Comparte

Facebook
Twitter
WhatsApp

NEWSLETTER

Buscar
Categorías
Archivos

Máxima seguridad digital para empresas

Contáctanos