ESET Research acaba de descubrir el primer Androide amenaza que utiliza generativa AI, se llama PromptSpy. Este es el primer malware para Android que utiliza IA generativa en su flujo de ejecución.
PromptSpy es el primer malware para Android que utiliza IA generativa
Este malware puede capturar datos de la pantalla de bloqueo, bloquear intentos de desinstalación, recopilar información del dispositivo, tomar capturas de pantalla, grabar la actividad de la pantalla como video y más. Es el segundo malware impulsado por IA con el que se topa la empresa, después de Bloqueo rápido del año pasado. Fue el primer caso de ransomware impulsado por IA.
La investigación de ESET dice que «Esta campaña parece tener una motivación financiera», y está dirigido principalmente a usuarios de Argentina. La conclusión sobre la motivación financiera se basa en pistas de localización del idioma y vectores de distribución.
Gemini se utiliza para proporcionar a PromptSpy instrucciones paso a paso
La fuente dice que “Géminis se utiliza para proporcionar a PromptSpy instrucciones paso a paso sobre cómo hacer que la aplicación maliciosa esté “bloqueada”, es decir, fijada, en la lista de aplicaciones recientes (a menudo representada por un ícono de candado en la vista multitarea de muchos lanzadores de Android), evitando así que el sistema la elimine o la elimine fácilmente”.
El investigador de ESET, Lukáš Štefanko, la persona que descubrió PromptSpy, dijo: «Dado que el malware de Android a menudo se basa en la navegación basada en la interfaz de usuario, aprovechar la IA generativa permite a los actores de amenazas adaptarse a más o menos cualquier dispositivo, diseño o versión del sistema operativo, lo que puede aumentar considerablemente el grupo de víctimas potenciales».
Su objetivo principal es implementar un módulo VNC integrado, dando así a los operadores acceso remoto al dispositivo de la víctima. Este malware también abusa de los Servicios de Accesibilidad para bloquear la desinstalación con superposiciones invisibles, captura datos de la pantalla de bloqueo y registra la actividad de la pantalla como video.
Este malware nunca ha estado disponible a través de Google Play Store
También cabe señalar que PromptSpy se distribuye a través de un sitio web exclusivo y nunca ha estado disponible en Google Play. ESET dice que compartió sus hallazgos con Google; sin embargo, a pesar de que los usuarios de Android están protegidos automáticamente contra versiones conocidas de este malware mediante Google Play Protect.
El nombre de la aplicación (que contiene este malware) es ‘MorganArg’ y el ícono está inspirado en Morgan Chase. El aplicación Obviamente está tratando de hacerse pasar por el banco Morgan Chase. MorganArg probablemente significa Morgan Argentina.
La única forma de desinstalarlo es a través del modo seguro.
ESET también señaló que la única forma de deshacerse de esta aplicación es iniciar el teléfono en el modo seguro, ya que de lo contrario su desinstalación se bloquea.
Fuente: Android Headlines