Expertos en ciberseguridad han detectado una nueva familia de malware para Android denominada PromptSpy, diseñada para espiar dispositivos y permitir a los atacantes controlar el teléfono de la víctima.
Lo que hace especialmente relevante esta amenaza es que utiliza Gemini, el modelo de inteligencia artificial de Google, para analizar lo que aparece en la pantalla del dispositivo y generar instrucciones que le permitan mantenerse activo dentro del sistema.
A diferencia de otros programas maliciosos que dependen de instrucciones rígidas, PromptSpy envía información sobre la interfaz del dispositivo a la IA y recibe indicaciones sobre cómo interactuar con ella. Esto permite que el malware se adapte a distintos modelos de móvil, versiones de Android o diseños de interfaz, ampliando potencialmente el número de víctimas.
¿Cómo funciona este malware?
El objetivo principal de PromptSpy es mantener el control del dispositivo infectado y facilitar el espionaje del usuario. Para lograrlo, utiliza varios mecanismos:
- Uso de IA generativa para analizar la interfaz del teléfono y decidir cómo permanecer activo en segundo plano.
- Persistencia en el sistema, fijándose en la lista de aplicaciones recientes para evitar que el usuario lo cierre.
- Módulo VNC integrado, que permite a los atacantes ver y controlar la pantalla del dispositivo a distancia.
- Captura de información sensible, como datos visibles en pantalla, capturas de pantalla o grabaciones de actividad.
- Bloqueo de la desinstalación, mediante elementos invisibles que interfieren con los botones del sistema.
Además, el malware puede recopilar información del dispositivo y comunicarse con servidores de mando y control utilizando conexiones cifradas.
Distribución de la campaña
Según los investigadores, PromptSpy se distribuye a través de páginas web maliciosas que ofrecen aplicaciones aparentemente legítimas y no ha sido detectado en la tienda oficial Google Play.
El análisis sugiere que la campaña podría estar dirigida principalmente a usuarios de Argentina, aunque los expertos no descartan que el malware pueda adaptarse fácilmente a otros países si los atacantes amplían su distribución.
¿Cómo eliminarlo si el dispositivo está infectado?
Los expertos indican que, si un dispositivo resulta comprometido, una posible forma de eliminar la aplicación maliciosa es:
- Reiniciar el dispositivo en modo seguro, lo que desactiva temporalmente las aplicaciones de terceros.
- Acceder a Ajustes → Aplicaciones.
- Localizar la aplicación sospechosa y desinstalarla manualmente.
Debido a que esto puede ser bastante complicado, otra opción menos agradable es reiniciar el dispositivo de fábrica entrando en ajustes → Restablecer → Restablecer valores de fábrica.
Además, mantener activo Google Play Protect y evitar instalar aplicaciones desde fuentes externas reduce significativamente el riesgo de infección.
Más información:
- Fuentes: helpnetsecurity.com y 20minutos.es.
