Il panorama della sicurezza informatica mobile si arricchisce di una nuova, inquietante sfida: PromptSpy, il primo malware per Android che si avvale dell’intelligenza artificiale per sopravvivere e adattarsi in tempo reale ai dispositivi delle vittime. Scoperto dai ricercatori di ESET, questo software malevolo non si limita a compromettere i dati sensibili, ma integra direttamente Google Gemini nel suo ciclo operativo, trasformandosi in una minaccia estremamente flessibile e difficile da rimuovere.
A differenza dei malware tradizionali, PromptSpy interroga il modello linguistico di Gemini per ricevere istruzioni dettagliate su come manipolare l’interfaccia utente dello smartphone. Questo significa che il malware può adattarsi in modo autonomo a diversi modelli di dispositivi, versioni di Android e layout grafici, rendendo il controllo remoto e le azioni malevoli praticamente invisibili all’utente. Come spiegato da Lukáš Štefanko di ESET, l’integrazione dell’AI consente al malware di reagire in tempo reale a eventuali modifiche dell’ambiente operativo, creando uno strato di complessità e resilienza senza precedenti.
La distribuzione di PromptSpy è avvenuta esclusivamente tramite un sito web dedicato, mascherato come finta app bancaria chiamata “MorganArg”, che mira a ingannare gli utenti facendo leva su un istituto noto come Morgan Chase e richiamando implicitamente l’utenza argentina. Una volta installata, l’applicazione malevola può registrare video dello schermo, catturare screenshot, estrarre informazioni dalla schermata di blocco e attivare un modulo di controllo remoto VNC.
Ulteriormente, sfrutta i servizi di accessibilità per ostacolare la disinstallazione, generando overlay invisibili che bloccano qualsiasi tentativo dell’utente di rimuovere l’applicazione. Il malware, per quanto attualmente mirato a specifiche aree geografiche, rappresenta una minaccia significativa anche per altri contesti, dato che la sua architettura basata su AI rende le difese tradizionali molto meno efficaci. L’unico metodo sicuro per eliminarlo consiste nel riavviare il dispositivo in modalità provvisoria, dove le app di terze parti sono disabilitate, consentendo la rimozione manuale del malware.