Investigadores de ESET han identificado PromptSpy, el que se considera el primer malware Android conocido que usa de forma directa un modelo de inteligencia artificial generativa en tiempo de ejecución. Esta familia maliciosa integra la API en la nube de Google Gemini para interactuar con la interfaz del dispositivo, lograr persistencia avanzada y dificultar tanto su detección como su eliminación.
Origen de PromptSpy y evolución desde VNCSpy
Según el análisis de ESET, PromptSpy es una versión evolucionada de un malware previo, hasta ahora no documentado públicamente, denominado VNCSpy. Los primeros restos de VNCSpy se subieron a VirusTotal el 13 de enero de 2026 desde Hong Kong, mientras que el 10 de febrero del mismo año aparecieron cuatro muestras más sofisticadas ya identificadas como PromptSpy, cargadas desde Argentina. Esta cronología apunta a una evolución rápida del código y a un desarrollo activo por parte de los atacantes.
Los indicios de localización —como el idioma de las interfaces falsas y los vectores de propagación— sugieren que la campaña se orienta principalmente a usuarios de Argentina y del entorno hispanohablante. Sin embargo, en las cadenas de depuración del código se ha detectado chino simplificado, lo que podría indicar el entorno de desarrollo o el origen de los autores. Todo apunta a una motivación fundamentalmente financiera, alineada con la tendencia global de los troyanos bancarios móviles descrita en informes recientes de ESET, Kaspersky y otras empresas de seguridad.
Cómo PromptSpy usa Google Gemini para navegar Android y lograr persistencia
La característica más novedosa de PromptSpy es el uso de la IA generativa Gemini para automatizar la navegación por la interfaz de Android. Muchos fabricantes permiten “anclar” (pinning) aplicaciones en la vista de tareas recientes, lo que reduce la probabilidad de que el sistema las cierre al liberar memoria o al pulsar “Borrar todo”. Este mecanismo, pensado para apps legítimas en segundo plano, se convierte en un vector muy atractivo para el malware.
Automatización de la interfaz mediante IA y servicio de accesibilidad
El reto para los atacantes es que el proceso de anclado varía entre capas de personalización y versiones de Android. Codificar de forma estática botones y coordenadas para todos los modelos resulta poco viable. PromptSpy solventa este problema generando un volcado XML completo de la pantalla (elementos de interfaz, textos, clases, coordenadas) y enviándolo junto con un prompt a la API de Gemini.
Gemini devuelve un JSON con instrucciones detalladas sobre qué elementos pulsar y en qué zona de la pantalla. A continuación, PromptSpy abusa del Servicio de Accesibilidad (Accessibility Service) para emular las pulsaciones, obtiene un nuevo estado de la pantalla, lo reenvía al modelo y repite el ciclo hasta que la IA confirma que la aplicación ha quedado anclada en la lista de recientes. El API key de Gemini se descarga dinámicamente desde un servidor de mando y control (54.67.2[.]84), evitando que quede expuesto en el APK y dificultando el análisis estático.
Capacidades de espionaje y control remoto con módulo VNC integrado
Más allá de su persistencia, la finalidad principal de PromptSpy es el espionaje y el control remoto completo del dispositivo Android infectado. El malware integra un módulo de tipo VNC (Virtual Network Computing) que proporciona a los operadores visibilidad en tiempo real de la pantalla y la capacidad de interactuar con ella como si tuvieran el terminal en sus manos.
Con los privilegios obtenidos a través de Accessibility, los atacantes pueden capturar PIN y contraseñas de desbloqueo, registrar patrones de bloqueo, tomar capturas de pantalla bajo demanda y exfiltrar el listado de aplicaciones instaladas y el estado actual de la interfaz. Este conjunto de funciones convierte a PromptSpy en una herramienta especialmente eficaz para robar credenciales de banca móvil, monederos de criptomonedas, servicios corporativos y otros datos sensibles, un escenario consistente con las campañas de troyanos bancarios móviles observadas en los últimos años en América Latina.
Técnicas de autoprotección y dificultad para desinstalar el malware
El componente de autodefensa de PromptSpy también resulta significativo. ESET documenta que la eliminación mediante los menús habituales de Android es prácticamente imposible mientras el malware está activo. Cuando el usuario intenta desinstalar la app o revocar permisos críticos, PromptSpy superpone capas invisibles (overlays) sobre botones como “Desinstalar” o “Forzar detención”. El usuario cree estar pulsando la opción del sistema, pero en realidad interactúa con un falso botón inofensivo, por lo que la acción nunca se ejecuta.
En la implementación analizada, el único método fiable para eliminar PromptSpy consiste en iniciar el dispositivo en modo seguro de Android, donde las aplicaciones de terceros quedan temporalmente deshabilitadas. Desde ese entorno, la desinstalación estándar vuelve a ser efectiva. Este enfoque recuerda a las técnicas de ocultación y persistencia propias de troyanos y rootkits en sistemas de escritorio.
Cadena de infección: páginas de phishing y falsas actualizaciones de seguridad
La campaña detectada distribuía PromptSpy a través del dominio mgardownload[.]com. Tras la instalación de un primer “dropper”, este abría una página en m-mgarg[.]com, diseñada para imitar el sitio de JPMorgan Chase. Desde ahí se incentivaba al usuario a habilitar la instalación de apps de orígenes desconocidos con el pretexto de una actualización o componente de seguridad imprescindible. En segundo plano, el dropper descargaba un archivo de configuración que contenía la URL desde la que obtener PromptSpy, presentado como una actualización legítima.
En el momento de la investigación, no estaba claro si ya se habían producido campañas masivas o si las muestras correspondían a una fase cercana a proof of concept. No obstante, la existencia de una infraestructura de phishing dedicada y la integración avanzada con Gemini apunta a que los atacantes preparan —o ya han iniciado— operaciones reales orientadas al fraude financiero.
PromptSpy ilustra un cambio de nivel en el ecosistema del malware móvil: la IA generativa deja de ser solo una herramienta para crear textos de phishing y pasa a formar parte activa de la lógica de ataque. El uso de modelos como Gemini permite a los operadores adaptarse dinámicamente a la fragmentación del ecosistema Android y automatizar acciones complejas en cualquier interfaz. Para reducir el riesgo, es esencial limitar estrictamente los permisos de Accesibilidad, instalar aplicaciones únicamente desde fuentes confiables, desactivar por defecto la instalación desde orígenes desconocidos y conocer cómo arrancar el dispositivo en modo seguro. En entornos corporativos, la adopción de soluciones MDM y EDR móvil ya no es opcional, sino un requisito clave para mantenerse al ritmo de las amenazas impulsadas por inteligencia artificial.
