La amenaza, denominada PromptSpy, integra el modelo Gemini en su funcionamiento para analizar lo que ocurre en la pantalla y tomar decisiones dinámicas que le permitan mantenerse activa.

El hallazgo fue realizado por la firma de ciberseguridad ESET, que documentó por primera vez el uso de un modelo de IA como parte del flujo operativo de un malware móvil. Según el informe técnico, se trata del primer caso conocido en Android en el que la inteligencia artificial guía el mecanismo de persistencia de una amenaza.

PromptSpy no utiliza IA para todas sus funciones, sino específicamente para evitar ser cerrada o desinstalada. El código malicioso emplea Gemini para interpretar elementos visibles en la interfaz, en especial la vista de aplicaciones recientes, y generar instrucciones en tiempo real que dificultan su eliminación manual.

El investigador que descubrió esta función en le malware fue Lukás Stefank, que explicó que esta integración permite que el virus se adapte a distintos diseños de interfaz, versiones del sistema operativo y configuraciones de dispositivos. Esa capacidad amplía el alcance potencial de la amenaza y reduce la efectividad de métodos tradicionales de cierre forzado.

Desde el punto de vista técnico, la incorporación de un modelo generativo introduce un nivel de flexibilidad que no es habitual en este tipo de desarrollos. A diferencia de los scripts estáticos, la IA puede interpretar contexto visual y ajustar su comportamiento, lo que automatiza decisiones que antes requerían programación específica para cada escenario.

¿Cómo afecta a tu celular este Malware?

El malware además abusa de los Servicios de Accesibilidad de Android para:

Capturar datos de la pantalla de bloqueo.

Bloquear la desinstalación.

Realizar capturas y grabaciones de pantalla.

Recopilar información del dispositivo.

Comunicarse con un servidor externo.

La campaña detectada, sin embargo, fue acotada. De acuerdo con ESET, la distribución se realizó a través de un sitio web dedicado vinculado a la aplicación MorganArg y no mediante la tienda oficial Google Play. Tampoco se registró una propagación masiva en la telemetría de la compañía.

Especialistas advierten que el uso de inteligencia artificial generativa en amenazas móviles podría consolidarse en el corto plazo. Si bien en este caso la IA se limita al mecanismo de persistencia, la experiencia demuestra que estas herramientas ya comenzaron a ser incorporadas como recurso operativo en campañas reales.

El caso de PromptSpy confirma un cambio de escenario en la ciberseguridad móvil. La combinación entre malware y modelos de IA disponibles comercialmente abre una nueva etapa en la evolución de amenazas para Android, con desafíos adicionales para fabricantes, desarrolladores y empresas de seguridad.