Investigadores de seguridad han identificado una nueva variante de malware para Android que, por primera vez según los analistas, integra un modelo generativo de inteligencia artificial en su cadena de ejecución para lograr persistencia en el dispositivo. La muestra, bautizada como PromptSpy por la firma ESET, no solo espía al usuario: aprovecha la capacidad del modelo para interpretar interfaces y devolver instrucciones concretas que el propio troyano ejecuta mediante los servicios de accesibilidad del sistema.
El mecanismo es inquietante en su simplicidad operacional. El malware contiene de forma fija tanto el identificador del modelo como una instrucción inicial que asigna a la IA el rol de asistente de automatización. En tiempo de ejecución toma una instantánea estructurada de la pantalla —un volcado XML que describe cada elemento de la interfaz, su tipo, texto y posición— y se la envía al servicio generativo. La respuesta que recibe no es un texto pensado para humanos, sino un conjunto de indicaciones en formato JSON que señalan qué acción realizar (por ejemplo, pulsar en una coordenada concreta) y dónde.
Con esa retroalimentación, PromptSpy puede navegar por menús, aceptar permisos, fijarse en la lista de aplicaciones recientes y aplicar una sucesión de interacciones hasta conseguir que la aplicación maliciosa quede anclada y difícil de cerrar. Todo esto lo realiza sin pulsaciones del usuario, ya que la ejecución de las acciones se realiza a través de los servicios de accesibilidad, que permiten simular interacciones en la interfaz.
El fin último del proyecto es dar acceso remoto completo al atacante. El software incorpora un módulo VNC que abre una puerta para controlar la pantalla del dispositivo y transmitir vídeo. Además, tiene capacidades para capturar la pantalla, interceptar datos del bloqueo (como patrones o la entrada en la pantalla de PIN), grabar la actividad y tomar capturas a petición del servidor de mando y control. El servidor C2 que se ha observado también entrega, cuando procede, la clave de API de Gemini que el malware utiliza para comunicarse con el modelo.
La campaña, según el análisis forense, no distribuye sus aplicaciones a través de Google Play: se promociona por medio de un sitio web dedicado que actúa como dropper. El instalador abre una página que se hace pasar por un servicio bancario, en este caso con referencias a una entidad llamada “MorganArg” para apuntar a usuarios en Argentina, y solicita al usuario activar la instalación desde orígenes desconocidos para poder descargar el APK malicioso. Durante su ejecución el dropper consulta un servidor que debía proporcionar la URL de la siguiente carga útil, aunque en el momento del estudio ese servidor ya no respondía.
Los indicios lingüísticos y los vectores de distribución apuntan a una motivación financiera y a una preferencia por blancos localizados en Argentina, aunque también hay señales de que el desarrollo ocurrió en un entorno de habla china: los binarios contienen cadenas de depuración en chino simplificado. Además, ESET considera que PromptSpy es una evolución más sofisticada de una familia anterior detectada recientemente en plataformas como VirusTotal.
Desde el punto de vista técnico la novedad relevante es cómo los atacantes han combinado dos elementos hasta ahora independientes: el uso de servicios de accesibilidad —una técnica conocida en Android para automatizar interacciones— con la capacidad de los modelos generativos de interpretar la estructura de una pantalla y decidir pasos precisos en función de ella. El resultado es un malware más flexible que puede adaptarse a distintas versiones del sistema y a distintos diseños de interfaz, algo que hace más difícil defenderse con firmas estáticas o reglas que asumen flujos de interacción fijos.
Para los usuarios la recomendación práctica es clara: nunca instalar aplicaciones desde fuentes no verificadas y desconfiar de enlaces o instaladores que simulen actualizaciones bancarias o de servicios críticos. Si una app maliciosa consigue bloquear la desinstalación mediante superposiciones invisibles, la forma más fiable de recuperarse es reiniciar el dispositivo en modo seguro —una opción que desactiva apps de terceros y permite eliminarlas—. Google describe el proceso para entrar en modo seguro en esta página de soporte oficial: Reiniciar el dispositivo en modo seguro.
También es aconsejable mantener el sistema operativo y las aplicaciones actualizadas, usar soluciones de seguridad móviles con reputación y revisar qué permisos se otorgan a cada aplicación; los servicios de accesibilidad, en particular, deben reservarse para apps de confianza. Las organizaciones y los investigadores pueden consultar muestras y señales en herramientas de análisis comunitario como VirusTotal y seguir informes de firmas de seguridad para comprender las nuevas técnicas. El informe técnico de ESET que describe PromptSpy en detalle está disponible en el blog de WeLiveSecurity: análisis de PromptSpy.
Más allá del caso concreto, este incidente subraya una tendencia preocupante: las herramientas de inteligencia artificial, diseñadas para asistir y automatizar tareas legítimas, también pueden potenciar ataques más adaptativos y escalables. Estamos ante un salto cualitativo en la capacidad de los actores maliciosos para automatizar la interacción con interfaces heterogéneas, lo que eleva la necesidad de controles en el diseño de APIs, límites en el uso de modelos desde aplicaciones de terceros y mejoras en la seguridad del propio sistema operativo.
La carrera entre defensores y atacantes se complica cuando la inteligencia se externalizada a terceros. Por eso es importante que fabricantes, proveedores de modelos y la comunidad de seguridad trabajen en medidas que dificulten el uso indebido de generativos —desde políticas comerciales y controles de uso hasta detección comportamental en dispositivos móviles—. Mientras tanto, la mejor defensa para un usuario individual sigue siendo el sentido común digital: no bajar apps de dudosa procedencia, revisar permisos y, ante la sospecha de infección, recurrir a modos de recuperación y a profesionales de confianza.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...