Investigadores de ESET han descubierto el primer caso conocido de malware para Android que utiliza inteligencia artificial generativa para manipular la interfaz de usuario de manera contextual. A pesar de que se ha utilizado aprendizaje automático con fines similares en el pasado, este es el primer caso que muestra el uso de la IA generativa. El malware, denominado PromptSpy, se basa en el modelo IA de Google, Gemini, para guiar sus manipulaciones maliciosas. Se trata de una evolución en el uso del malware que combina capacidades de IA para adaptarse a diferentes dispositivos, disposiciones y versiones del sistema operativo.
La principal función de PromptSpy es implementar un módulo VNC que permite a los atacantes acceder de forma remota al dispositivo afectado. Además, el malware abusa de los servicios de accesibilidad para bloquear la desinstalación, capturar datos de la pantalla de bloqueo y grabar videos de la actividad en el dispositivo. Se conecta a su servidor de comandos y control (C&C) mediante el protocolo VNC, utilizando cifrado AES para mantener la privacidad de la información.
Análisis preliminares sugieren que PromptSpy tiene motivaciones financieras y que se dirige principalmente a usuarios en Argentina. La investigación revela que el malware fue desarrollado en un entorno de habla china, según las pistas lingüísticas y los vectores de distribución observados.
PromptSpy se distribuye a través de un sitio web dedicado y nunca ha estado disponible en Google Play. Por otro lado, Google Play Protect, una herramienta de protección automática para usuarios de Android, protege a los dispositivos contra versiones conocidas de este malware.
La mayor parte de la funcionalidad de PromptSpy reside en su módulo VNC, que otorga a los atacantes el control total del dispositivo comprometido. La interacción del malware con Gemini permite a los atacantes ejecutar acciones específicas, como mantener la aplicación en la lista de aplicaciones recientes, empleando técnicas que superan las limitaciones del malware tradicional basado en Android.
Esta nueva ola de malware, que combina la inteligencia artificial generativa para la interacción de la interfaz de usuario, marca un cambio significativo en el panorama de ciberamenazas. Los investigadores concluyen que este tipo de malware puede adaptarse a variadas condiciones, lo que representa un gran reto para la seguridad digital.
Fuente: WeLiveSecurity by eSet.
