ESET ha scoperto il primo virus per Android che utilizza Google Gemini – PromptSpy

Cos’è PromptSpy?

Gli sviluppatori di ESET hanno scoperto un nuovo malware per Android chiamato PromptSpy. È il primo virus che si rivolge direttamente al chatbot Google Gemini tramite la sua API e utilizza le capacità dell’IA generativa per “farsi installare” sul dispositivo infetto.

Come funziona PromptSpy
1. Connessione a Gemini

Il malware invia richieste predefinite a Gemini, ottenendo istruzioni passo‑passo. Con queste istruzioni analizza lo schermo del dispositivo (ad esempio riconoscendo immagini) e determina come lasciarsi nella lista delle ultime applicazioni.

2. Installazione di un modulo di accesso remoto

Una volta che l’utente accetta di installare MorganArg (in realtà è il malware), PromptSpy si connette al server controllato dagli aggressori e scarica la parte residua del codice. In essa è implementato un modulo VNC e richieste di accesso ai servizi delle funzioni speciali, consentendo il controllo remoto del dispositivo Android.

3. Evitare i metodi di rimozione standard

Il malware sovrappone “rettangoli trasparenti” sullo schermo, bloccando tocco in zone critiche e rendendo difficile terminare l’applicazione a forza. Può essere rimosso solo tramite modalità provvisoria, dove le applicazioni di terze parti sono disabilitate.

4. Funzioni aggiuntive

- Possibilità di intercettare i PIN di blocco dello schermo.
- Registrazione delle azioni sullo schermo (swipe, inserimento testo).
- Simulare l’interazione fisica con il dispositivo – come se un operatore tenesse il telefono in mano.

Origine e obiettivo dell’attacco
- Target regionale: Il sito di phishing tramite cui PromptSpy era distribuito usava il branding *JPMorgan Chase Argentina*, indicando il pubblico target – utenti argentini.
- Apparenza online: Il virus è stato scoperto dopo che i campioni sono stati caricati da Argentina sulla piattaforma Google VirusTotal.
- Tracce cinesi: Nel codice sono presenti frammenti in cinese, confermando l’ipotesi di sviluppo del malware in Cina.

Come proteggersi
- Google Play Protect: Secondo ESET, il servizio di sicurezza di Google blocca già PromptSpy e l’app non è ancora presente sul Play Market.
- Aggiornamenti OS e app: Installa le ultime patch di sicurezza Android e usa solo fonti verificate per scaricare software.
- Attenzione ai permessi: Non accettare richieste di installazione di applicazioni non verificate, soprattutto se chiedono accesso ai servizi delle funzioni speciali.

Conclusioni
PromptSpy dimostra un nuovo livello di interazione tra malware e servizi IA generativi. Grazie a Gemini, il virus può adattarsi a qualsiasi dispositivo e OS, aumentando il rischio di infezione. Sebbene la rimozione sia difficile, la modalità provvisoria permette di liberarsene, e i meccanismi integrati di Google Play Protect già offrono protezione agli utenti.