La Era del «Malware Cognitivo»: ESET descubre la primera amenaza móvil que utiliza IA Generativa para blindarse ante el usuario

El equipo de investigación de ESET ha detectado «PromptSpy», el primer malware para Android que integra IA (Gemini) en su flujo de ejecución para interpretar la pantalla del usuario y evitar activamente su desinstalación. Detectado en una campaña de fraude financiero en Argentina, este hallazgo confirma el temor de los CISO: el código malicioso ahora tiene capacidad de adaptación en tiempo real

 La ciberseguridad ha cruzado un nuevo umbral. Si hasta ayer el malware operaba bajo scripts rígidos y predefinidos, hoy nos enfrentamos al nacimiento del malware adaptativo. ESET, compañía líder en detección de amenazas, ha revelado el hallazgo de PromptSpy, el primer software malicioso para Android que utiliza Inteligencia Artificial Generativa (específicamente Google Gemini) no para escribir su código, sino para ejecutar sus ataques en tiempo real.

Para los líderes empresariales, esto representa un cambio de paradigma: el atacante ya no necesita prever cada variable del dispositivo de la víctima; ahora utiliza IA para «ver» la pantalla, entender el entorno y tomar decisiones autónomas para persistir en el sistema.

Adaptabilidad: El Nuevo Riesgo Operativo

Lo que hace a PromptSpy peligroso no es solo su capacidad de espionaje (grabación de pantalla, robo de datos), sino su resiliencia. Lukáš Štefanko, investigador de ESET, advierte que el uso de IA permite a este malware adaptarse a cualquier versión de Android o tamaño de pantalla.

• ¿Cómo funciona? El malware utiliza el modelo Gemini para analizar visualmente la interfaz del usuario y ejecutar acciones precisas para mantenerse abierto y evitar que el sistema lo cierre o el usuario lo desinstale.

• El Objetivo: Desplegar un módulo VNC (Virtual Network Computing) que otorga a los criminales control remoto total sobre el dispositivo corporativo o personal.

Foco: Fraude Financiero Regional

La investigación señala que esta campaña tiene una clara motivación económica. El vector de ataque es una aplicación llamada «MorganArg», que suplanta la identidad de la entidad financiera JP Morgan y está dirigida específicamente al mercado de Argentina. Esto subraya la tendencia de ataques hiper-localizados pero tecnológicamente sofisticados.

Implicaciones para la Seguridad Corporativa

Aunque Google Play Protect ya neutraliza las versiones conocidas de esta amenaza, la aparición de PromptSpy (y su predecesor, el ransomware PromptLock) envía una señal clara a las juntas directivas:

1. Defensa en Profundidad: Las barreras tradicionales no bastan contra ataques que se comportan como usuarios legítimos.

2. Cultura de Seguridad: La ingeniería social sigue siendo la puerta de entrada; la aplicación se descarga desde sitios web falsos, no tiendas oficiales.

3. Gestión de Dispositivos (MDM): Es crítico impedir la instalación de aplicaciones de fuentes desconocidas en móviles corporativos.

PromptSpy demuestra que la IA Generativa es una herramienta de doble filo: un motor de productividad para las empresas, pero también un acelerador de eficacia para el cibercrimen.