ESET detectó PromptSpy, el primer malware para Android que utiliza IA generativa para mantenerse activo y controlar dispositivos de forma remota.
ESET Research reveló una nueva amenaza móvil que marca un precedente en ciberseguridad: PromptSpy, el primer malware para Android que integra IA generativa en su ejecución. La campaña apunta principalmente a usuarios de Argentina y utiliza una app falsa llamada MorganArg para tomar control del dispositivo. El hallazgo refuerza la tendencia creciente de ciberataques impulsados por IA en la región.
Una amenaza móvil impulsada por IA generativa
ESET identificó que PromptSpy utiliza Gemini de Google para interpretar la interfaz del dispositivo comprometido y ejecutar acciones que le permiten mantenerse activo en segundo plano. Según el informe, el modelo analiza la pantalla y guía al malware para permanecer en la lista de apps recientes, evitando que Android lo cierre fácilmente.
“El uso de la IA generativa permite adaptarse a cualquier dispositivo o versión de Android”, señala Lukáš Štefanko, investigador de ESET.
Control remoto mediante un módulo VNC integrado
El objetivo principal del ataque es instalar un módulo de Virtual Network Computing (VNC) que otorga a los operadores acceso remoto a la pantalla del usuario. Con ello, los atacantes pueden ver la actividad en tiempo real, capturar datos de la pantalla de bloqueo, grabar video, tomar capturas y recopilar información del dispositivo.
Distribución regional y suplantación bancaria
La campaña se distribuye desde un sitio web específico y no pasó por Google Play. La app maliciosa, llamada MorganArg, utiliza un icono inspirado en Morgan Chase, lo que sugiere un intento de suplantación bancaria dirigido a usuarios argentinos. Google Play Protect ya bloquea las variantes conocidas del malware.
Técnicas avanzadas para evitar la desinstalación
PromptSpy impide que el usuario lo elimine superponiendo elementos invisibles sobre los botones de desinstalación. La única forma de removerlo es reiniciar el dispositivo en modo seguro y desinstalar la app desde Ajustes → Aplicaciones → MorganArg.
Un precedente para la región y la industria
Aunque la IA generativa se usa solo en una parte del código, su impacto es significativo: permite que el malware sea más adaptable, automatice acciones complejas y aumente su alcance potencial. Este caso se suma a PromptLock, el ransomware con IA descubierto por ESET en 2025, y confirma una tendencia creciente en amenazas móviles basadas en modelos generativos.
Puedes revisar el análisis completo de ESET en su portal de investigación y seguir sus actualizaciones para conocer nuevas amenazas digitales en Latinoamérica.
