1. Inicio
  2. / Ciencia y tecnología
  3. / Descubierto el primer malware para Android con IA generativa: PromptSpy utiliza Google Gemini para adaptarse al teléfono y evitar que lo desinstales
Ubicación RS Tiempo de lectura 5 min de lectura Comentarios 0 comentarios

Descubierto el primer malware para Android con IA generativa: PromptSpy utiliza Google Gemini para adaptarse al teléfono y evitar que lo desinstales

Escrito por Fabiano Souza
Publicado el 24/02/2026 a las 12:08

Ciencia y tecnología

Google News
Descoberto o primeiro malware para Android com IA generativa PromptSpy usa Google Gemini
Seja o primeiro a reagir!
Reagir ao artigo

Un Nuevo Hito En La Evolución Del Cibercrimen Digital: El PromptSpy Combina IA Generativa Con Manipulación De Interfaz En Android Para Interpretar La Pantalla En Tiempo Real, Generar Comandos Dinámicos A través De Google Gemini Y Dificultar Su Propia Eliminación Del Sistema

La evolución del cibercrimen acaba de alcanzar un nuevo hito técnico. Investigadores de ESET han identificado lo que se describe como el primer malware para Android que incorpora IA generativa en su flujo operativo. Llamado PromptSpy, el código malicioso utiliza el modelo Google Gemini para interpretar información de la interfaz del dispositivo y generar instrucciones dinámicas en tiempo real.

Aunque aún no existen evidencias de campañas masivas en campo, la aparición de este malware para Android inaugura una nueva categoría de amenaza: códigos maliciosos capaces de adaptar su comportamiento a través de modelos de lenguaje.

Arquitectura Técnica Del PromptSpy

A diferencia de los malwares tradicionales, que operan con scripts fijos y reglas preprogramadas, el PromptSpy utiliza una capa intermedia basada en prompts en lenguaje natural. El proceso identificado por los investigadores sigue un flujo específico:

EL ARTÍCULO CONTINÚA ABAJO
Vea también
Recomendado para você
macaé energy Plataforma FPSO offshore com estrutura industrial de petróleo e gás em alto-mar destacando integração energética e novos projetos de FPSOs
Ferias comerciales y eventos

Gran Evento Del Sector De Petróleo, Gas Y Energía Se Llevará A Cabo En Brasil: Macaé Energy Reunirá A Petrobras, Equinor, Prio Entre Otros Proveedores Y Ejecutivos Del Sector Energético Para Negocios, Networking Y Empleabilidad

La agenda técnica y la feria en la ciudad de Macaé deben impulsar discusiones sobre inversiones, transición energética y desarrollo de la cadena de petróleo, gas y energías en el...
Paulo Nogueira
1
  1. El malware recopila datos de la interfaz del usuario a través de la accesibilidad del sistema Android.
  2. Genera un archivo XML que contiene información sobre elementos visibles en la pantalla.
  3. Envía este contenido como prompt al modelo Gemini.
  4. Recibe como respuesta instrucciones estructuradas en JSON.
  5. Ejecuta acciones con base en la interpretación devuelta por el modelo.

Este enfoque permite que el malware para Android adapte su navegación de acuerdo con la versión del sistema operativo, idioma, diseño o personalizaciones del fabricante. En lugar de depender de coordenadas fijas o interfaces predecibles, el código pasa a interpretar semánticamente el entorno gráfico.

Técnicamente, esto representa un salto en la flexibilidad operativa.

Persistencia Y Manipulación De La Interfaz

El principal objetivo identificado en PromptSpy es garantizar persistencia en el dispositivo comprometido. El malware instala un módulo de control remoto basado en VNC (Virtual Network Computing), permitiendo que el operador visualice e interactúe con la pantalla de la víctima.

Para evitar su eliminación, el código utiliza superposiciones invisibles y manipulación de la lista de aplicaciones recientes. A través de las instrucciones generadas por el modelo Gemini, el malware logra mantener la aplicación maliciosa activa y reposicionada estratégicamente en la pila de ejecución del sistema.

Este mecanismo reduce la eficacia de intentos comunes de cierre forzado. En ciertos escenarios, la única forma de eliminación puede requerir una restauración completa del dispositivo a la configuración de fábrica.

Además, el PromptSpy explora permisos de accesibilidad para:

  • Capturar datos exhibidos en la pantalla
  • Registrar patrones de desbloqueo
  • Interceptar entradas de PIN
  • Recolectar credenciales ingresadas manualmente

El uso combinado de estas técnicas amplía significativamente el riesgo de comprometimiento financiero y de identidad.

El Papel De La IA Generativa En La Amenaza

Es importante observar que la IA generativa no ejecuta el ataque de forma autónoma. Actúa como un mecanismo de interpretación y toma de decisiones contextual.

Tradicionalmente, los malwares de Android deben ser adaptados manualmente para diferentes interfaces. Los cambios en las versiones del sistema pueden romper scripts automatizados. Al integrar un modelo de lenguaje, el PromptSpy externaliza la interpretación de la interfaz a una IA capaz de comprender descripciones textuales de la pantalla.

Esto significa que el malware puede, por ejemplo, “entender” que un botón de configuraciones está presente incluso si su posición o apariencia cambian. En lugar de buscar coordenadas fijas, interpreta semánticamente la función del elemento.

Este modelo reduce la necesidad de actualizaciones constantes por parte del atacante, aumentando la escalabilidad potencial de la amenaza.

Origen Y Estado Actual

El PromptSpy ha sido identificado en repositorios de muestras maliciosas como VirusTotal. Hasta el momento, no hay confirmación pública de campañas amplias de distribución. Investigadores sugieren que el código puede representar una prueba de concepto o fase inicial de pruebas.

También se han encontrado indicios de dominios de comando y control ya inactivos, lo que refuerza la hipótesis de experimentación técnica.

A pesar de esto, la importancia del caso no está en el volumen de infecciones, sino en la innovación estructural. El malware para Android con IA generativa inaugura un modelo de ataque que tiende a evolucionar rápidamente.

Implicaciones Para La Ciberseguridad

La integración de modelos de lenguaje en códigos maliciosos altera el paradigma de defensa. Los sistemas tradicionales de detección basados en firmas pueden tener mayores dificultades para identificar comportamientos adaptativos guiados por IA.

Además, la personalización del ataque en tiempo real puede reducir patrones repetitivos que facilitarían bloqueos automatizados.

Expertos señalan que el próximo paso puede involucrar:

  • Automatización completa de ingeniería social a través de IA
  • Ajuste dinámico de payload según el perfil del usuario
  • Exploración de múltiples aplicaciones bancarias sin necesidad de hardcoding

A medida que los modelos de lenguaje se vuelven más accesibles, el costo técnico para incorporar IA a malwares tiende a disminuir.

Un Hito Simbólico En La Evolución Del Cibercrimen

Históricamente, cada salto tecnológico acaba siendo incorporado por agentes maliciosos. La aparición del PromptSpy confirma que la IA generativa ya ha entrado definitivamente en el arsenal del cibercrimen.

Aunque este caso específico aún no represente una amenaza masiva, señala un cambio estructural. El malware para Android deja de ser solo automatizado y pasa a incorporar capacidad interpretativa contextual.

Esta transición puede redefinir el equilibrio entre ataque y defensa en los próximos años. Y, aunque el PromptSpy sea solo el primer caso documentado, difícilmente será el último.

Inscreva-se
Notificar de
guest
0 Comentários
Mais recente
Mais antigos Mais votado
Feedbacks
Visualizar todos comentários
Etiquetas
Fuente
Canal Tech
Fabiano Souza

CEO G4 Comunicação e Marketing Apaixonado por Carros e Internet. Antenado nos assuntos da Web. Criador de conteúdo digital.

Compartir en aplicaciones
0
Adoraríamos sua opnião sobre esse assunto, comente!x