Android, allarme PromptSpy: è il primo malware che usa Gemini per spiarvi

Negli ultimi giorni il tema sicurezza Android è tornato al centro dell’attenzione, e non per motivi rassicuranti. Dopo i recenti casi di dispositivi con software già compromesso, arriva un’altra scoperta che mette in luce tecniche sempre più sofisticate utilizzate dagli attaccanti.

I ricercatori di ESET hanno individuato una nuova famiglia di malware che integra direttamente un modello di intelligenza artificiale generativa durante la sua esecuzione. Una modalità di azione tutt’altro che comune, che suggerisce un’evoluzione non trascurabile nel panorama delle minacce mobili.

Il malware individuato prende il nome di PromptSpy e si distingue da altre varianti grazie a una caratteristica insolita: durante l’esecuzione invia a Gemini, il modello di Google, informazioni su ciò che appare sullo schermo dell’utente infetto. L’obiettivo consiste nel ottenere indicazioni su come procedere, così da adattare il proprio comportamento alle differenze tra dispositivi e interfacce.

Questa dinamica evita la rigidità tipica degli attacchi basati su istruzioni predefinite, che spesso funzionano solo su modelli specifici.

In questo caso, invece, l’AI permette al malware di regolare le sue azioni in tempo reale, un aspetto che complica le attività di analisi e di difesa.

ESET definisce PromptSpy il primo caso noto di malware Android che integra l’AI generativa nel proprio flusso di esecuzione. L’uso dell’intelligenza artificiale riguarda una singola funzione, ma evidenzia come strumenti pubblicamente disponibili possano diventare un tassello aggiuntivo nella costruzione di attacchi più versatili.

Al di là dell’elemento AI, PromptSpy opera come vero e proprio spyware. Include un modulo di accesso remoto e, una volta ottenute le autorizzazioni, è in grado di raccogliere dati come le applicazioni installate e le credenziali della schermata di blocco. Inoltre cerca di ostacolare i tentativi di rimozione, aumentando le difficoltà per chi cerca di ripristinare il dispositivo.

Secondo i ricercatori, il malware non risulta ancora osservato nella telemetria ESET, quindi non è chiaro se sia già in diffusione o ancora vicino a uno stadio di prototipo.

Tuttavia, la distribuzione tramite un dominio dedicato e l’uso dell’identità di una grande banca indicano un’operazione più strutturata di un semplice test.

Un portavoce di Google ha riportato quanto segue:

In base alle nostre attuali rilevazioni, su Google Play non è stata rilevata alcuna app contenente questo malware. Gli utenti Android sono automaticamente protetti dalle versioni note di questo malware da Google Play Protect, attivo di default sui dispositivi Android con Google Play Services. Google Play Protect può avvisare gli utenti o bloccare le app che notoriamente mostrano comportamenti dannosi, anche quando provengono da fonti esterne a Play.

Il nostro consiglio è sempre quello di prestare attenzione a ciò che si scarica, soprattutto se proviene appunto da fonti affidabili o meno.