PromptSpy: así actúa el malware de Android que se apoya en la IA generativa

Trucoteca » Otros » PromptSpy: así actúa el malware de Android que se apoya en la IA generativa

La aparición de PromptSpy ha encendido todas las alarmas en el ecosistema Android. Se trata de una familia de malware que rompe con los esquemas habituales: integra inteligencia artificial generativa directamente en su funcionamiento para interpretar la pantalla y decidir qué hacer en cada momento, en lugar de limitarse a seguir un guion fijo.

Investigadores de ESET Research han documentado esta amenaza como el primer caso conocido de malware para Android que aprovecha un modelo generativo —Gemini de Google— para manipular la interfaz de usuario y lograr persistencia. Aunque su campaña se ha orientado sobre todo a usuarios de Argentina, la técnica que emplea es aplicable a cualquier país, incluida Europa, y anticipa hacia dónde puede evolucionar el cibercrimen móvil en los próximos años.

Qué es PromptSpy y por qué es diferente a otros troyanos de Android

PromptSpy es una familia de spyware para Android que combina varias piezas: un dropper inicial encargado de instalar la carga útil principal y un módulo de control remoto basado en VNC. Lo que la hace realmente especial es que una parte de su lógica se apoya en Gemini, el modelo generativo de Google, para decidir cómo interactuar con la interfaz del dispositivo infectado.

A diferencia de muchos troyanos móviles tradicionales, que dependen de coordenadas codificadas, clics predefinidos y menús esperados, PromptSpy envía a la IA una descripción estructurada de la pantalla en forma de XML de la interfaz. Con esa información, Gemini genera instrucciones en formato JSON con los pasos exactos (toques, pulsaciones prolongadas, deslizamientos…) que debe ejecutar para alcanzar un objetivo concreto.

En esta primera variante, la IA se utiliza para algo muy específico: anclar la app maliciosa en la vista de aplicaciones recientes y conseguir que el sistema no la cierre con facilidad. Es una tarea que cambia de un fabricante a otro —Samsung, Xiaomi, Google Pixel, etc.— y que con scripts tradicionales resulta frágil y poco escalable.

El modelo y el prompt que guía a Gemini están incluidos de fábrica en el código del malware, por lo que el comportamiento no depende de instrucciones externas. La IA no escribe el virus desde cero ni lo reprograma al vuelo, pero sí añade una capa de adaptación dinámica a la interfaz que hasta ahora solo veíamos en herramientas legítimas de automatización.

Cómo utiliza PromptSpy la IA generativa para “leer” la pantalla

El uso que hace PromptSpy de Gemini se centra en la persistencia. Una vez instalada la carga útil, el malware inicia un ciclo en el que:

• Abre la vista de aplicaciones recientes en el dispositivo comprometido.
• Recoge la estructura de la interfaz (textos, posiciones, nombres de clases, límites de cada elemento) y la serializa como XML.
• Envía ese XML a Gemini junto con un mensaje en lenguaje natural que describe la tarea: por ejemplo, “bloquear la aplicación MorganArg en la lista de apps recientes”.
• Recibe de la IA una respuesta en JSON que indica qué acción ejecutar (tap, long press, swipe…) y en qué coordenadas.
• Ejecuta la acción mediante los Servicios de Accesibilidad y vuelve a enviar el nuevo estado de la pantalla para que la IA verifique si el objetivo se ha logrado o debe dar otra instrucción.

Este mecanismo crea un bucle de retroalimentación: el malware no se limita a seguir una secuencia ciega, sino que consulta a la IA hasta que esta confirma que la app está efectivamente fijada en recientes. Solo entonces da por completada la tarea. Gemini actúa como un asistente de automatización que entiende el contexto y ajusta los pasos en tiempo real.

Todo este proceso se apoya en los Servicios de Accesibilidad de Android, que permiten a PromptSpy simular gestos e interactuar con elementos que el usuario normalmente tocaría con el dedo. Desde el punto de vista técnico, es la misma base que utilizan algunas apps legítimas de asistencia, pero aquí se explota con fines claramente maliciosos.

Aunque la IA solo se usa en esta parte del código, los investigadores subrayan que su impacto es profundo: el malware deja de “romperse” cada vez que cambia la interfaz entre versiones de Android o capas de personalización. Mientras Gemini sea capaz de interpretar el XML, el atacante no necesita reescribir la lógica para cada modelo de móvil.

De MorganArg al control remoto total del dispositivo

La campaña analizada por ESET gira en torno a una aplicación bancaria falsa llamada MorganArg, cuyo nombre y logotipo recuerdan al banco JPMorgan Chase. Esta app no ha llegado nunca a Google Play: se distribuye exclusivamente a través de páginas web fraudulentas que se hacen pasar por portales financieros oficiales.

Los dominios implicados, como mgardownloadcom o m-mgargcom, ya estaban inactivos cuando se llevó a cabo el análisis, pero las versiones en caché mostraban interfaces bancarias en español, botones como “Iniciar sesión” y referencias a supuestos servicios financieros en Argentina. Todo ello refuerza la hipótesis de una campaña con motivación económica y foco regional.

El esquema de ataque sigue un patrón conocido de ingeniería social:

• La víctima recibe un enlace por redes sociales, SMS o publicidad que promete una app financiera o de inversión.
• Ese enlace la lleva a un sitio falso desde el que se descarga un archivo APK.
• Para instalarlo, la persona debe activar la instalación desde “orígenes desconocidos”, algo que Android bloquea por defecto.
• Una vez en el dispositivo, el dropper solicita permisos avanzados, en especial los de accesibilidad, con mensajes que intentan justificar su necesidad.

Tras esa primera etapa, el dropper instala la carga útil de PromptSpy y entra en acción el componente más delicado: un módulo VNC integrado que otorga a los operadores acceso remoto casi total al móvil. Desde ese momento, los atacantes pueden ver en tiempo real lo que aparece en la pantalla y actuar como si tuvieran el dispositivo en la mano.

Según el análisis de ESET, el malware se conecta a un servidor de mando y control (C&C) alojado en la dirección 54.67.284, utilizando el protocolo VNC con cifrado AES. A través de ese canal, PromptSpy es capaz de:

• Enviar la lista de aplicaciones instaladas al servidor.
• Capturar el PIN o la contraseña de la pantalla de bloqueo.
• Grabar en vídeo el patrón de desbloqueo y otras acciones del usuario.
• Tomar capturas de pantalla bajo demanda.
• Registrar qué app está en primer plano y si la pantalla está encendida o apagada.
• Recibir y usar claves de la API de Gemini para mantener su mecanismo de IA operativo.

En la práctica, se comporta como una herramienta de administración remota encubierta, con capacidades muy similares a las de un software legítimo de soporte, pero orientada al robo silencioso de información y a la manipulación de aplicaciones bancarias o billeteras digitales.

Bloqueo de desinstalación y modo seguro como último recurso

Una vez que PromptSpy está instalado y con permisos de accesibilidad activos, se vuelve especialmente complicado deshacerse de él por las vías habituales. El malware incorpora una técnica de evasión y defensa basada en superposiciones invisibles que impide al usuario completar la desinstalación.

Cuando la víctima intenta desinstalar la app maliciosa o revocar sus permisos desde Ajustes, PromptSpy crea rectángulos transparentes sobre zonas clave de la pantalla, como los botones que contienen términos del tipo “detener”, “finalizar”, “borrar” o “desinstalar”. Estos elementos no se ven, pero capturan los toques del usuario y evitan que se ejecute la acción legítima.

En entornos de prueba con opciones de depuración habilitadas, los investigadores de ESET pudieron visualizar estas cajas, lo que confirmó su posición exacta. Sin embargo, en un móvil real, el usuario solo percibe que el sistema parece no responder o no dejarle completar el proceso, sin una explicación clara.

Dado este mecanismo de protección, ESET señala que la opción más fiable para eliminar PromptSpy es recurrir al Modo Seguro de Android. En ese estado, el sistema desactiva temporalmente todas las aplicaciones de terceros, lo que impide al malware seguir colocando superposiciones o interceptar acciones.

El procedimiento habitual consiste en mantener pulsado el botón de encendido, hacer una pulsación prolongada sobre “Apagar” y aceptar la opción de reiniciar en Modo Seguro (aunque el método exacto puede cambiar según el fabricante). Una vez que el dispositivo arranca en ese modo, el usuario puede ir a Ajustes → Aplicaciones → MorganArg (o el nombre sospechoso que se haya usado) y desinstalarla sin interferencias.

Dónde se originó PromptSpy y a quién apunta

El análisis del código ha permitido a ESET extraer algunas pistas sobre el origen de esta familia de malware. Entre los elementos encontrados aparecen cadenas de depuración escritas en chino simplificado, así como manejadores de eventos de accesibilidad comentados pero no eliminados, con explicaciones en ese idioma.

Estos detalles no constituyen una prueba definitiva, pero llevan a los investigadores a considerar con confianza media que PromptSpy fue desarrollado en un entorno de habla china. Al mismo tiempo, el contenido de los sitios de distribución, el idioma de las páginas y la marca MorganArg apuntan claramente a una campaña centrada en usuarios de Argentina, con un gancho financiero adaptado al contexto local.

A nivel técnico, ESET detectó dos fases en la evolución de esta familia. Primero apareció VNCSpy, una variante centrada en el acceso remoto mediante VNC, cuyas muestras se subieron a VirusTotal desde Hong Kong a mediados de enero de 2026. Posteriormente, en febrero, se identificaron varias muestras más avanzadas enviadas desde Argentina que ya incorporaban el uso indebido de Gemini. A partir de ahí, se acuñó el nombre PromptSpy para la etapa basada en IA.

Pese al ruido mediático, los investigadores señalan que no han observado aún infecciones reales en su telemetría, lo que abre la puerta a que las muestras analizadas sean, en parte, prototipos o pruebas de concepto. No obstante, la existencia de dominios de distribución operativos y de un troyano adicional de phishing firmado con el mismo certificado sugiere que la infraestructura estaba preparada para campañas activas.

Relación con PromptLock y tendencia del malware impulsado por IA

PromptSpy no es la primera amenaza descubierta por ESET que integra IA en su esquema de ataque. En agosto de 2025, la compañía ya había identificado PromptLock, considerado el primer ransomware basado en IA. En ese caso, la inteligencia artificial se usaba para automatizar decisiones relacionadas con el cifrado y la gestión de víctimas.

Con PromptSpy, la tendencia da un paso más: la IA ya no se limita a tareas de apoyo o de generación de contenido, sino que interviene directamente en la manipulación de la interfaz en tiempo real. El modelo generativo se convierte en un componente operativo más del malware, encargado de interpretar pantallas, razonar sobre el estado del sistema y decidir qué gesto ejecutar a continuación.

Este enfoque encaja con una tendencia más amplia que también han señalado equipos como el Google Threat Intelligence Group: actores respaldados por Estados y grupos criminales organizados experimentan con técnicas de destilación de conocimiento para clonar la lógica de modelos comerciales como Gemini y adaptarla a sus propios entornos, sin controles de seguridad.

En el caso de PromptSpy, el modelo utilizado sigue siendo el de Google, con un uso desviado pero todavía dentro del ecosistema oficial. Sin embargo, la técnica ilustra cómo los mismos avances que impulsan la productividad y la creatividad también pueden reforzar las capacidades ofensivas de los atacantes, desde el desarrollo de código malicioso hasta la automatización de campañas de fraude y espionaje.

Impacto potencial en usuarios de Europa y España

Aunque las primeras campañas conocidas han tenido como blanco a usuarios en Argentina, el tipo de técnica que introduce PromptSpy resulta especialmente preocupante para regiones con alta penetración de Android y banca móvil, como la Unión Europea y España.

En estos mercados es muy habitual gestionar cuentas bancarias, pagos móviles y documentación sensible directamente desde el teléfono. Un malware con capacidad de ver la pantalla, grabar patrones de desbloqueo y leer notificaciones puede, en teoría, saltarse factores de autenticación que el usuario percibe como seguros, sobre todo si combina acceso remoto y un buen uso de ingeniería social.

Además, el hecho de que la lógica de persistencia dependa de una IA capaz de adaptarse a cualquier capa de personalización de Android reduce la ventaja defensiva que proporcionaba hasta ahora la fragmentación del ecosistema. Con herramientas como Gemini, un mismo diseño de malware podría funcionar con pocas variaciones tanto en un móvil económico de gama baja como en un buque insignia de alta gama.

Por ahora, la protección que ofrece Google Play Protect frente a las variantes conocidas de PromptSpy, sumada a políticas más estrictas de revisión en las tiendas oficiales europeas, atenúa el riesgo de una propagación masiva. Sin embargo, el descubrimiento invita a que tanto entidades financieras europeas como usuarios particulares extremen la vigilancia ante aplicaciones bancarias que se distribuyan por canales no oficiales o con nombres sospechosamente parecidos a marcas consolidadas.

Organismos de ciberseguridad y empresas de seguridad europeas ya han empezado a seguir de cerca este tipo de amenazas, conscientes de que la frontera entre automatización legítima y abusos maliciosos de la IA va a ser uno de los grandes retos de los próximos años en materia de protección de datos y prevención del fraude.

Consejos prácticos para proteger un móvil Android frente a PromptSpy

Más allá del interés técnico, PromptSpy deja varias lecciones para el día a día de cualquier usuario de Android, tanto en España como en el resto de Europa o Latinoamérica. Aunque la amenaza es sofisticada, las medidas de prevención siguen siendo relativamente sencillas si se aplican con constancia.

Entre las recomendaciones que subrayan los especialistas destacan:

• Instalar aplicaciones solo desde tiendas oficiales como Google Play o el marketplace del fabricante. La mayoría de las infecciones analizadas se originaron al descargar archivos APK desde páginas web de terceros.
• Desconfiar de apps financieras que llegan por enlace en mensajes, redes sociales o anuncios, especialmente si prometen rendimientos económicos rápidos o ventajas desproporcionadas.
• Revisar con calma los permisos que solicita una aplicación antes de instalarla. Si una supuesta app de banca pide acceso completo a los Servicios de Accesibilidad sin una razón clara, conviene pensárselo dos veces.
• Mantener activado Google Play Protect y el sistema operativo actualizado, ya que estas capas de seguridad pueden bloquear variantes conocidas o comportamientos sospechosos.
• En caso de notar comportamientos raros —pantalla que no responde al intentar desinstalar, accesos extraños a cuentas o notificaciones inusuales—, valorar el reinicio en Modo Seguro para comprobar qué ocurre con las apps de terceros.

En entornos corporativos, donde muchos empleados utilizan su propio móvil para acceder al correo de empresa o a herramientas internas, puede ser recomendable reforzar el uso de soluciones MDM/EMM (gestión de dispositivos móviles) y políticas que prohíban expresamente la instalación de apps críticas fuera de canales validados.

PromptSpy marca un antes y un después en el malware móvil al combinar técnicas clásicas de espionaje y control remoto con la capacidad de la IA generativa para entender y manipular cualquier interfaz de Android. Aunque, por ahora, su impacto parezca limitado geográficamente, la idea que introduce es lo realmente relevante: los atacantes ya están empezando a delegar parte de la toma de decisiones en modelos de lenguaje como Gemini, lo que abre la puerta a campañas más flexibles, difíciles de detectar y, sobre todo, más adaptables a cada dispositivo y usuario.

Artículo relacionado:

Kaleidoscope: la app maliciosa que inunda Android con publicidad en Latinoamérica