ESET descubre la primera amenaza para Android con IA generativa

Photo of Staff Boletín Staff Boletín Follow on X Send an email Hace 4 horasLast Updated: 20 de febrero de 2026
4 3 minutos de lectura

    Este  es el primer malware para Android que utiliza la IA generativa como parte de su flujo de ejecución. La campaña parece tener motivaciones económicas

    El equipo de investigación de ESET, compañía líder en detección proactiva de amenazas, descubrió el primer malware conocido para Android que abusa de la IA generativa en su flujo de ejecución para lograr persistencia. Dado que los atacantes se basan en un modelo de IA (concretamente, Gemini de Google) para guiar la manipulación maliciosa de la interfaz de usuario, ESET ha denominado a esta familia PromptSpy.

    El malware puede capturar datos de la pantalla de bloqueo, detener los intentos de desinstalación, recopilar información del dispositivo, realizar capturas de pantalla, grabar la actividad de la pantalla en vídeo y mucho más. Este es el segundo malware basado en IA que ha descubierto ESET Research, tras PromptLock en agosto de 2025, el primer caso conocido de ransomware impulsado por IA.

    Puntos clave de la investigación de ESET:

    • PromptSpy es el primer malware para Android conocido que utiliza IA generativa en su ejecución.
    • Utiliza Gemini de Google para interpretar los elementos que aparecen en la pantalla del dispositivo comprometido y proporcionar instrucciones sobre cómo ejecutar distintas acciones para permanecer en la lista de aplicaciones recientes.
    • El objetivo principal es implementar un módulo de Virtual Network Computing (VNC) en el dispositivo de la víctima, que permite a los atacantes ver la pantalla y realizar acciones de forma remota.
    • PromptSpy puede capturar datos de la pantalla de bloqueo, bloquear la desinstalación, recopilar información del dispositivo, realizar capturas de pantalla, grabar la actividad de la pantalla en vídeo y mucho más.

    Aunque la IA generativa se utiliza en una parte del código, la encargada de lograr persistencia, sigue teniendo un impacto significativo en la adaptabilidad del malware. En concreto, Gemini se utiliza para analizar la pantalla actual y proporcionar a PromptSpy instrucciones sobre cómo garantizar que la aplicación maliciosa permanezca en la lista de aplicaciones recientes, evitando que el sistema la elimine fácilmente. El modelo de IA y el prompt están predefinidos en el código y no pueden modificarse.

    El uso de la IA generativa permite a los actores maliciosos adaptarse a prácticamente cualquier dispositivo, diseño o versión del sistema operativo Android, lo que puede ampliar enormemente el número de víctimas potenciales”, afirma Lukáš Štefanko, investigador de ESET que descubrió PromptSpy. “El objetivo principal de este malware es implementar un módulo VNC integrado, que brinda a los operadores acceso remoto al dispositivo de la víctima”, añade Štefanko.

     

    Según las pistas de localización lingüística y los vectores de distribución observados durante el análisis, esta campaña parece tener motivaciones económicas y estar dirigida principalmente a usuarios de Argentina.

    PromptSpy se distribuye a través de un sitio web específico y nunca ha estado disponible en Google Play. No obstante, como socio de App Defense Alliance, ESET compartió los hallazgos con Google. Los usuarios de Android están protegidos automáticamente contra las versiones conocidas de este malware por Google Play Protect, que está habilitado de forma predeterminada en los dispositivos Android con Google Play Services.

    Dado que el nombre de la aplicación es MorganArg y su icono parece inspirado en Morgan Chase, es probable que el malware busque hacerse pasar por el banco Morgan Chase. MorganArg, seguramente busque ser una abreviatura de «Morgan Argentina», también aparece como el nombre del sitio web almacenado en caché, lo que sugiere un enfoque regional.

    PromptSpy bloquea la desinstalación superponiendo elementos invisibles en la pantalla, la única forma de que la víctima lo elimine es reiniciar el dispositivo en modo seguro, donde las aplicaciones de terceros se desactivan y se pueden desinstalar normalmente. Para entrar en modo seguro, los usuarios suelen tener que mantener pulsado el botón de encendido, mantener pulsado «Apagar» y confirmar el mensaje «Reiniciar en modo seguro» (aunque el método exacto puede variar según el dispositivo y el fabricante).

    Una vez que el teléfono se reinicia en modo seguro, el usuario puede ir a Ajustes → Aplicaciones → MorganArg y desinstalarla sin interferencias.

    Aunque PromptSpy solo utiliza Gemini en una de sus funciones, sigue demostrando cómo la implementación de estas herramientas puede hacer que el malware sea más dinámico, proporcionando a los actores maliciosos formas de automatizar acciones que normalmente serían más difíciles con los scripts tradicionales”, afirma Štefanko.

     

     

    Etiquetas
    Photo of Staff Boletín Staff Boletín Follow on X Send an email Hace 4 horasLast Updated: 20 de febrero de 2026
    4 3 minutos de lectura
    Photo of Staff Boletín

    Staff Boletín

    Artículos de interés sobre las últimas tendencias y avances en el campo de la Industria TI

    Publicaciones relacionadas

    Apple Pay en la mira de los ciberdelincuentes

    Hace 4 semanas

    2026: El Año en que la IA se Vuelve Agéntica, Humana y Estratégica

    22 de diciembre de 2025

    Cómo construir un uso consciente de la tecnología

    18 de diciembre de 2025

    Fabricantes bajo amenaza: cómo reforzar su ciberseguridad

    9 de octubre de 2025
    Botón volver arriba