Questo approfondimento sintetizza la scoperta di PromptSpy, la prima minaccia Android nota per utilizzare l’IA generativa nel suo flusso operativo. Viene analizzato il funzionamento, il potenziale impatto e le tecniche impiegate, con particolare attenzione al contesto argentino e all’app di imitazione bancaria associata.
promptspy: primo malware android che usa l’ia generativa
PromptSpy rappresenta una minaccia per Android capace di sfruttare l’intelligenza artificiale generativa per adattarsi a dispositivi e versioni di sistema diverse. Le capacità includono la raccolta di dati dalla schermata di blocco, la registrazione di attività dello schermo, la disattivazione della disinstallazione e l’accesso remoto tramite un modulo vnc integrato. L’obiettivo principale sembra indirizzato agli utenti in Argentina, dove viene distribuito tramite una falsa applicazione bancaria denominata MorganArg.
come funziona promptspy
Secondo la ricerca, Gemini viene impiegato per fornire a PromptSpy indicazioni passo-passo su come mantenere l’app dannosa “bloccata” nell’elenco delle app recenti, spesso raffigurato da un’icona a lucchetto nella visualizzazione multitasking dei launcher Android. Questo limita la possibilità di trascinarla via o di chiuderla facilmente dal sistema.
Un ricercatore di ESET sottolinea che, data la dipendenza da interfacce utente, l’uso dell’IA generativa consente agli attori di adattarsi a dispositivi, layout e versioni di sistema differenti, aumentando la platea potenziale delle vittime.
capacità principali e strumenti integrati
- raccolta dati schermo e contenuti di blocco
- registrazione video dell’attività sul display
- blocco disinstallazione mediante overlay invisibili con servizi di accessibilità
- modulo vnc per controllo remoto
- raccolta info dispositivo e stato del sistema
distribuzione e stato su google play
PromptSpy non è mai stato disponibile su Google Play Store. La diffusione avviene tramite un sito dedicato, senza integrazione nel negozio ufficiale. Nonostante Google Play Protect offra una protezione contro versioni note, la minaccia aggira la vigilanza su canali alternativi.
L’app, identificata come MorganArg, presenta un’icona che richiama una nota banca, con l’obiettivo evidente di imitare Morgan Chase. MorganArg è presumibilmente riferita all’Argentina (Morgan Argentina).
modalità di disinstallazione e implicazioni di sicurezza
L’eliminazione di PromptSpy risulta possibile solo avviando la dispositivo in modalit? sicura, poiché la disinstallazione è bloccata dalle protezioni dell’app.
osservazioni sull’azione e contesto
La campagna risulta orientata al guadagno, concentrata sull’Argentina e supportata da indicatori di localizzazione linguistica e canali di distribuzione mirati. L’uso di strumenti di IA genera una capacità di adattamento potenzialmente estesa a diversi scenari, aumentando la probabilità di infiltrazioni su dispositivi mobili.
punti chiave operative
PromptSpy sfrutta l’IA generativa per: adattarsi a layout e versioni diverse, bloccare l’app nello stato “pinned”, raccogliere dati sensibili e offrire accesso remoto agli aggressori, complicando la difesa degli utenti e dei sistemi di sicurezza.











Lascia un commento