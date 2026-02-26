La amenaza, detectada por ESET, combina automatización con Gemini y control remoto por VNC en una campaña que apunta a Argentina y se camufla como “MorganArg”

En el radar de la seguridad móvil acaba de aparecer una novedad incómoda. PromptSpy, un malware para Android identificado por ESET, es el primer caso documentado en el que una pieza maliciosa incorpora IA generativa dentro de su propio flujo de ejecución para lograr algo muy concreto: aguantar en el dispositivo y resistir intentos de cierre o desinstalación.

El salto no está en que un delincuente “use IA” para escribir código, sino en la forma de operar. Según los investigadores (se puede consultar en este enlace), PromptSpy se apoya en Gemini para interpretar lo que sucede en pantalla y generar indicaciones que le permitan mantenerse activo, por ejemplo quedándose fijado en la vista de aplicaciones recientes. Esa capa añade una ventaja práctica para el atacante: la amenaza se adapta a interfaces y versiones con menos fricción que el malware tradicional, que suele romperse cuando cambia el diseño o el flujo de menús.

La IA como “copiloto” para manipular la interfaz

En el enfoque de ESET, PromptSpy utiliza la IA generativa para navegar la interfaz de Android de forma contextual. Esa idea, que en una app legítima se traduciría en accesibilidad o automatización, aquí se convierte en una técnica para ganar persistencia y para dificultar que el usuario lo expulse del teléfono.

El propio investigador de ESET Lukáš Štefanko resume el riesgo con una frase que marca tendencia. «Dado que el malware para Android suele depender de la navegación por la interfaz, aprovechar la IA generativa permite a los atacantes adaptarse a casi cualquier dispositivo, diseño o versión del sistema operativo».

En la práctica, esa adaptación significa menos necesidad de “afinar” variantes para cada móvil y más capacidad de funcionar en entornos heterogéneos, justo donde Android siempre ha sido un ecosistema especialmente amplio.

Control remoto, robo de información y una pista geográfica clara

La persistencia es solo el andamiaje. El núcleo del problema, según ESET, es que PromptSpy despliega un módulo VNC que permite al operador ver y manejar la pantalla del dispositivo infectado como si lo tuviera en la mano. Entre sus capacidades documentadas figuran la captura de datos visibles incluso con el terminal bloqueado, la toma de capturas y grabaciones, y el uso de Servicios de Accesibilidad para bloquear acciones del usuario mediante superposiciones invisibles que complican la desinstalación.

ESET también describe comunicaciones con el servidor de mando y control protegidas con cifrado AES, un detalle coherente con una amenaza pensada para operar con discreción y mantener un canal estable con sus operadores.

En cuanto a la distribución, los indicios apuntan a una campaña con foco en Argentina. El malware se propaga desde un sitio dedicado y se presenta bajo el nombre MorganArg, con un icono similar al de una entidad financiera conocida, un patrón clásico de suplantación para mejorar la tasa de instalación. ESET subraya además que no ha estado en Google Play, lo que sugiere una difusión limitada o dirigida, más cercana a una operación acotada que a una oleada masiva.

El caso importa por lo que anticipa. Si la IA generativa ya puede usarse como “intérprete” de pantallas para mantener malware vivo dentro del sistema, la frontera entre automatización legítima y automatización maliciosa se vuelve más fina. Y, en ese terreno, la seguridad móvil deja de depender solo de firmas y permisos. Empieza a depender también de cómo se controla el abuso de la interfaz, la accesibilidad y los canales que permiten convertir un teléfono en un escritorio remoto.