PromptSpy, il malware pericoloso per Android che sfrutta l'intelligenza artificiale
Scoperto il primo malware Android che usa l'IA di Google Gemini per evolversi e diventare impossibile da disinstallare.
Fino a poco tempo fa, l’intelligenza artificiale era vista esclusivamente come una rivoluzione positiva: un assistente capace di scriverci email, riassumere libri o generare immagini spettacolari. Tuttavia, il confine tra utilità e pericolo è diventato improvvisamente molto sottile. Gli esperti di sicurezza di ESET hanno infatti individuato PromptSpy, il primo virus per sistemi Android che non si limita a eseguire ordini preimpostati, ma utilizza l’IA per “ragionare” e garantire la propria sopravvivenza sul dispositivo della vittima.
- Un virus che "parla" con Google Gemini
- La trappola della finta banca "MorganArg"
- Il muro invisibile: perché è così difficile da rimuovere
- Come difendersi: la Modalità Provvisoria è l'unica via
Un virus che “parla” con Google Gemini
La vera novità che sta togliendo il sonno agli esperti di cybersecurity è il modo in cui PromptSpy opera. A differenza dei malware tradizionali, che hanno un comportamento rigido e prevedibile, questo software malevolo interroga attivamente un modello linguistico avanzato. La cosa ancora più sorprendente? Il malware utilizza proprio Google Gemini per ricevere istruzioni dettagliate su come manipolare lo smartphone che ha infettato.
Come spiegato da Lukáš Štefanko, l’esperto di ESET che ha coordinato la scoperta, l’uso dell’intelligenza artificiale di Mountain View permette al virus di adattarsi istantaneamente a qualsiasi contesto. Che la vittima utilizzi un vecchio modello economico o l’ultimo top di gamma, che abbia installato una versione datata di Android o l’ultima release, PromptSpy analizza il layout grafico e le impostazioni del sistema per capire come muoversi. Questa flessibilità estrema lo rende una minaccia potenzialmente illimitata: è un virus capace di imparare come colpire meglio ogni singolo utente, rendendo i vecchi metodi di rilevamento molto meno efficaci.
La trappola della finta banca “MorganArg”
Ma come arriva questo virus all’interno dei nostri smartphone? Per ora, PromptSpy non è riuscito a penetrare nel Google Play Store, il negozio ufficiale di app di Google. Viene invece distribuito tramite un sito web creato appositamente, dove viene presentato come un’innocua applicazione bancaria denominata “MorganArg”.
Il nome è un chiaro tentativo di ingannare gli utenti dell’istituto Morgan Chase, con quel suffisso “arg” pensato per attirare il pubblico argentino. Una volta installato, il trojan rivela la sua natura devastante. È in grado di registrare video di tutto ciò che accade sullo schermo, catturare screenshot dei nostri dati sensibili (come password o codici di accesso), sottrarre informazioni dalla schermata di blocco e attivare un modulo di controllo remoto (VNC), che permette ai criminali di usare lo smartphone a distanza come se lo avessero tra le mani.
Il muro invisibile: perché è così difficile da rimuovere
Il punto di forza di PromptSpy, però, è la sua difesa. Il malware abusa dei “servizi di accessibilità” di Android per proteggersi. Grazie all’IA, è capace di creare degli overlay invisibili: in parole povere, posiziona dei tasti o delle scritte trasparenti sopra i comandi di sistema. Quando l’utente cerca di cliccare su “Disinstalla” o prova a revocare i permessi, in realtà sta toccando lo scudo creato dal malware, che annulla l’operazione. Questo rende la rimozione manuale una sfida frustrante e, per molti utenti meno esperti, impossibile.
Come difendersi: la Modalità Provvisoria è l’unica via
Sebbene al momento la campagna sembri mirata principalmente al territorio sudamericano, la tecnologia alla base di PromptSpy segna un punto di non ritorno. Se vi accorgete che il vostro smartphone si comporta in modo strano o trovate app che non ricordate di aver scaricato, l’unico modo per eradicare questo virus è il riavvio in Modalità Provvisoria.
In questo stato, il sistema operativo carica solo le funzioni essenziali e disabilita tutte le app di terze parti. È l’unico momento in cui le “barriere” create dall’intelligenza artificiale di PromptSpy rimangono inattive, permettendo all’utente di andare nelle impostazioni e cancellare definitivamente l’intruso. La cybersecurity deve ora correre ai ripari: siamo entrati nell’era dei malware “pensanti”, e la protezione dei nostri dati non sarà mai più la stessa.
