El software se llamó PromptSpy y, según ESET, se deriva de otra familia de malware llamada VNCSpy. ¿Qué tiene de especial? Este es el primero o uno de los primeros malware en Android, que utiliza IA generativa durante su funcionamiento, concretamente -lo que parece un poco absurdo- el modelo Google Gemini.
Programa malicioso PromptSpy para Android
¿Cómo se utiliza el malware Gemini? De forma inusual. En algunos teléfonos, puedes anclar aplicaciones a tu lista usada recientemente. De esta forma, Android no lo borra cuando apagamos todas las apps en masa y sigue ejecutándose en segundo plano.
El caso es que el método para fijar aplicaciones varía según el fabricante del teléfono. Bueno, es por eso que PromptSpy toma una captura de pantalla en formato XML y la envía a Gemini. Luego, la aplicación responde con instrucciones en formato JSON sobre cómo fijar la aplicación. El malware los ejecuta gracias a permisos dentro del Servicio de Accesibilidad de Android. Luego vuelve a consultar a la IA para confirmar que el proceso fue exitoso.
Según ESET, el malware puede:
- Cargue una lista de aplicaciones instaladas.
- Capture PIN o contraseñas de bloqueo de pantalla.
- Grabe su patrón de desbloqueo de pantalla como un video.
- Toma capturas de pantalla a pedido.
- Registre la actividad de la pantalla y los gestos del usuario.
- Informe la aplicación en segundo plano actual y el estado de la pantalla.
Esto brinda grandes oportunidades para hacerse cargo de cuentas en redes sociales, aplicaciones y diversos servicios, y potencialmente puede conducir a la eliminación de una cuenta bancaria.
En la introducción, escribí que el software podría atacar a los usuarios de Android. Quizás porque todavía no hay pruebas de ello. Según ESET, PromptSpy puede actuar como una especie de prueba de concepto por ahora y demostrar que el uso de IA es posible. Sin embargo, VirusTotal afirma que ya ha encontrado rastros de malware utilizado en una campaña que se hace pasar por el banco JPMorgan Chase.
