MADRID 24 fev. (Portaltic/EP) -
O PromptSpy é a primeira ameaça conhecida para Android que integra inteligência artificial (IA) generativa em seu fluxo de execução para alcançar persistência, embora não tenha chegado a estar disponível na Google Play Store. O PromptSpy utiliza a IA do Google, Gemini, para interpretar elementos que aparecem na tela e gerar instruções passo a passo que lhe permitem fixar-se na visualização de aplicativos recentes. Dessa forma, consegue permanecer ativo e dificultar seu encerramento ou eliminação. Trata-se do primeiro caso documentado em que um malware móvel utiliza um modelo de inteligência artificial para orientar parte de seu comportamento operacional e a primeira vez que se observa o uso de IA generativa com esse propósito no Android, conforme apontado pela empresa de segurança ESET em um comunicado à imprensa.
O principal objetivo do malware é implantar um módulo integrado de Virtual Network Computing (VNC), que permite aos invasores ver a tela do dispositivo e realizar ações remotamente.
O malware abusa dos Serviços de Acessibilidade para capturar dados da tela de bloqueio, bloquear a desinstalação por meio de sobreposições invisíveis, coletar informações do dispositivo, realizar capturas de tela, gravar a tela em vídeo e se comunicar com seu servidor de comando e controle por meio de criptografia AES.
A inteligência artificial generativa intervém apenas na função de persistência, que ajuda os invasores a “se adaptar a praticamente qualquer dispositivo, design ou versão do sistema operacional, o que amplia enormemente o número potencial de vítimas”, explica o pesquisador da ESET Lukás Stefanko, descobridor do PromptSpy.
A análise dos pesquisadores da ESET Research indica que a campanha do PromptSpy é direcionada principalmente a usuários da Argentina e é distribuída por meio de um site dedicado do aplicativo MorganArg.
No entanto, essa ameaça não chegou a estar disponível no Google Play e ainda não foi observada na telemetria da ESET, o que pode indicar que se trata de um teste de conceito ou de uma campanha limitada, segundo a empresa.
“Embora o PromptSpy use o Gemini apenas em uma de suas funções, ele demonstra como a integração dessas ferramentas pode tornar o malware mais dinâmico, permitindo automatizar ações que seriam muito mais difíceis com scripts tradicionais”, afirma Stefanko.
Esta notícia foi traduzida por um tradutor automático