Minaccia Evoluta: PromptSpy, il Malware Android che Pensa con l'AI

I ricercatori di ESET hanno svelato una nuova e sofisticata minaccia per i sistemi Android, denominata PromptSpy. Questo software malevolo si distingue per l'integrazione diretta dell'intelligenza artificiale nel suo ciclo operativo, garantendo una persistenza senza precedenti sui dispositivi delle vittime. In pratica, il malware dialoga attivamente con un modello linguistico per agire in tempo reale e adattarsi dinamicamente all'ambiente.

Ciò che rende PromptSpy particolarmente inquietante è il suo utilizzo di Google Gemini per ottenere istruzioni dettagliate su come manipolare l'interfaccia utente dello smartphone. Come evidenziato da Lukáš Štefanko, l'esperto ESET che ha coordinato la scoperta, l'adozione dell'AI di Mountain View consente al malware di conformarsi istantaneamente a una vasta gamma di modelli di telefono, versioni del sistema operativo e layout grafici. Questa flessibilità rende la minaccia estremamente versatile, con la capacità potenziale di colpire un numero illimitato di utenti.

È importante sottolineare che PromptSpy viene propagato attraverso un sito web specifico e non è mai stato disponibile sul Google Play Store. È stato rilevato celato dietro l'apparenza di una fittizia applicazione bancaria denominata "MorganArg", un chiaro tentativo di impersonare l'istituto Morgan Chase, con il suffisso "arg" mirato agli utenti argentini. Questo trojan è in grado di registrare video dello schermo, acquisire screenshot, esfiltrare dati dalla schermata di blocco e, soprattutto, attivare un modulo di controllo remoto Virtual Network Computing (VNC). A completare il quadro, il malware abusa dei servizi di accessibilità per blindarsi contro la disinstallazione, arrivando a creare overlay invisibili che neutralizzano i tentativi dell'utente di rimuovere l'applicazione.

Sebbene i dati telemetrici suggeriscano che si tratti ancora di una campagna altamente mirata, principalmente confinata ai territori argentini, la sua pericolosità risiede nella straordinaria difficoltà di rimozione. L'unico metodo efficace per eradicare il virus consiste nel riavviare il dispositivo in modalità provvisoria, l'unico stato in cui le applicazioni di terze parti sono disabilitate e possono essere rimosse manualmente dalle impostazioni di sistema, impedendo così alle barriere create dall'AI di attivarsi.

In conclusione, il caso PromptSpy rappresenta una svolta epocale, poiché l'AI è ormai diventata una componente logica attiva e intrinseca al malware, trasformandolo in un'entità "pensante" capace di interpretare il contesto operativo. La comunità della cybersecurity è chiamata ad agire con urgenza per contrastare una minaccia di questa portata.