Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Malware móvil PromptSpy: Malware para Android

PromptSpy: Malware para Android

Por Mezo en Malware móvil
Traducir a:

Investigadores de ciberseguridad han identificado lo que se cree que es el primer malware para Android que utiliza Gemini, el chatbot de inteligencia artificial generativa de Google, como arma en su flujo de trabajo operativo. La amenaza recién descubierta, denominada PromptSpy, integra la toma de decisiones basada en IA en su cadena de ejecución y estrategia de persistencia.

PromptSpy está diseñado con amplias capacidades de vigilancia y control. Sus funciones incluyen la recopilación de credenciales de la pantalla de bloqueo, el bloqueo de intentos de desinstalación, la recopilación de información detallada del dispositivo, la captura de pantalla y la grabación de la actividad en pantalla como vídeo. El objetivo principal del malware es implementar un módulo integrado de Computación en Red Virtual (VNC), que permite a los atacantes acceder remotamente a los dispositivos comprometidos.

La IA como motor de automatización: cómo Gemini facilita la persistencia

A diferencia del malware tradicional para Android, que se basa en rutas de navegación predefinidas en la interfaz de usuario (IU), PromptSpy utiliza IA generativa para interpretar e interactuar dinámicamente con las pantallas del dispositivo. Al integrar un modelo de IA y un mensaje predefinidos, el malware asigna al agente de IA la función de "asistente de automatización de Android".

El proceso de infección implica la transmisión de un mensaje en lenguaje natural a Gemini junto con un volcado XML de la pantalla actual. Este archivo XML contiene datos granulares sobre cada componente de la interfaz de usuario, incluyendo etiquetas de texto, tipos de elementos y coordenadas exactas en pantalla. Gemini procesa la entrada y devuelve instrucciones JSON estructuradas que indican al malware qué acciones realizar, como tocar elementos específicos de la interfaz de usuario, y dónde ejecutarlas.

Esta interacción de varios pasos, guiada por IA, continúa hasta que la aplicación maliciosa se ancla correctamente en la lista de aplicaciones recientes. Al permanecer bloqueada en este estado, la aplicación resiste ser borrada o cerrada por el sistema operativo, logrando así persistencia. El uso de IA elimina la dependencia de secuencias de toque predefinidas, lo que permite que el malware se adapte sin problemas a diferentes dispositivos, diseños y versiones de Android, ampliando significativamente su base de víctimas potenciales.

Abuso de accesibilidad e infraestructura de control remoto

PromptSpy aprovecha los servicios de accesibilidad de Android para ejecutar instrucciones generadas por IA sin la interacción del usuario. Mediante estos servicios, puede manipular la interfaz del dispositivo mediante programación sin ser detectado.

Sus capacidades operativas incluyen:

  • Interceptar PIN, contraseñas y patrones de desbloqueo de la pantalla de bloqueo
  • Capturar capturas de pantalla y grabar la actividad de la pantalla a pedido
  • Bloquear intentos de eliminación mediante la superposición de elementos de interfaz de usuario invisibles
  • Establecer acceso remoto a través de un módulo VNC integrado

El malware se comunica con un servidor de Comando y Control (C2) codificado en '54.67.2.84' mediante el protocolo VNC. También recupera la clave API de Gemini de este servidor, lo que permite continuar las operaciones controladas por IA. Se utilizan superposiciones invisibles para impedir que el usuario desinstale la aplicación, atrapando así a las víctimas a menos que se tomen medidas correctivas específicas.

Cadena de infección y tácticas de ingeniería social

PromptSpy no se distribuye a través de tiendas de aplicaciones oficiales como Google Play. En su lugar, se distribuye a través de un sitio web malicioso específico, "mgardownload(punto)com", que proporciona una aplicación de descarga. Una vez instalada y ejecutada, la aplicación de descarga redirige a las víctimas a otro sitio, "m-mgarg(punto)com".

La operación se hace pasar por JPMorgan Chase bajo el nombre "MorganArg", en referencia a Morgan Argentina. Mediante ingeniería social, las víctimas son persuadidas para que autoricen la instalación de aplicaciones de fuentes desconocidas. Posteriormente, el dropper contacta con su servidor para obtener un archivo de configuración que contiene un enlace para descargar un archivo APK adicional, presentado en español como una actualización legítima. Durante un análisis posterior, se descubrió que el servidor de configuración estaba desconectado, lo que deja sin determinar la URL exacta de la carga útil.

PromptSpy se considera una evolución avanzada de una amenaza para Android previamente no documentada conocida como VNCSpy.

Pistas de atribución y patrones de segmentación

El análisis de los artefactos lingüísticos y los mecanismos de distribución sugiere que la campaña tiene una motivación económica y se dirige principalmente a usuarios de Argentina. Sin embargo, los indicadores técnicos revelan que el malware probablemente se desarrolló en un entorno de habla china, como lo demuestran las cadenas de depuración escritas en chino simplificado integradas en el código base.

Desafíos de la remoción e implicaciones defensivas

Debido al uso de superposiciones invisibles y al abuso de accesibilidad por parte del malware, los métodos de desinstalación convencionales son ineficaces. La única solución fiable consiste en reiniciar el dispositivo en modo seguro, donde se deshabilitan las aplicaciones de terceros, lo que permite eliminar PromptSpy.

La aparición de PromptSpy subraya una evolución significativa en el diseño de malware para Android. Al aprovechar la IA generativa para interpretar elementos en pantalla y determinar estrategias de interacción dinámicamente, los actores de amenazas obtienen una adaptabilidad previamente inalcanzable con scripts de automatización estáticos. En lugar de depender de rutas de interacción rígidas y codificadas, el malware simplemente proporciona a la IA una captura de pantalla y recibe instrucciones precisas paso a paso.

Este desarrollo señala un cambio hacia amenazas móviles más autónomas, resilientes e independientes del dispositivo, y marca un hito preocupante en la convergencia de la inteligencia artificial y el ciberdelito.

Tendencias

American Express - Estafa por correo electrónico que...

Suplantación de identidad (phishing), Correo basura
Mantenerse alerta al recibir correos electrónicos inesperados es fundamental en el entorno digital actual. Los ciberdelincuentes suelen suplantar la identidad de marcas de confianza para engañar a los destinatarios y conseguir que revelen información confidencial. La llamada estafa de correo electrónico "American Express - Se necesita actualizar el acceso a la cuenta" es una de estas campañas...

Estafa por correo electrónico que dice que se...

Suplantación de identidad (phishing), Correo basura
Mantener la cautela al tratar con correos electrónicos no solicitados o inesperados es fundamental en el panorama de amenazas actual. Los ciberdelincuentes suelen camuflar mensajes fraudulentos como comunicaciones legítimas para manipular a los destinatarios y conseguir que revelen información confidencial. Los correos electrónicos denominados "Documento Privado Preparado" no están asociados...

Mas Visto

Cargando...