PromptSpy: primo malware Android con AI integrata
Topic
Approfondimenti
Trending
tutti

PromptSpy: primo malware Android con AI integrata

PromptSpy sfrutta il modello Gemini di Google per rilevare gli elementi dell'interfaccia Android e mantenere l'esecuzione anche dopo il riavvio.
PromptSpy: primo malware Android con AI integrata
Sicurezza Business AI
PromptSpy sfrutta il modello Gemini di Google per rilevare gli elementi dell'interfaccia Android e mantenere l'esecuzione anche dopo il riavvio.
Google AI Studio

Come ha evidenziato Google, Gemini viene sempre più sfruttato durante gli attacchi informatici. Quanto scoperto dai ricercatori di ESET rappresenta il “livello successivo”. Il modello dell’azienda di Mountain View è stato integrato direttamente nel flusso di esecuzione del malware PromptSpy per Android.

AI generativa per la persistenza

L’intelligenza artificiale è stata usata in passato per analizzare il contenuto dello schermo e ottenere profitti illeciti dai clic sulle inserzioni. PromptSpy sfrutta il modello Gemini in modo più avanzato. L’obiettivo principale è ottenere la persistenza su diversi dispositivi Android e consentire l’accesso remoto ai cybercriminali.

Su alcuni dispositivi è possibile “bloccare” le app nell’elenco delle app recenti. Quando viene liberata la memoria o effettuata la pulizia, il processo dell’app bloccata rimane in esecuzione. Questa funzionalità varia in base al dispositivo e al produttore, quindi non è possibile scrivere il codice del malware per tutte le combinazioni.

La soluzione più efficace è utilizzare Gemini. PromptSpy invia al modello di Google un prompt in linguaggio naturale insieme al dump XML dello schermo con informazioni sugli elementi dell’interfaccia (testo, tipo, posizione). Gemini risponde con istruzioni in formato JSON che indicano al malware l’azione da eseguire per il lock dell’app nell’elenco delle app recenti.

PromptSpy esegue quindi la gesture sfruttando i servizi di accessibilità e successivamente chiede a Gemini se l’azione è stata completata correttamente. Il malware viene distribuito tramite siti con design simile a quelli di noti istituti bancari. Si tratta quindi di file APK che devono essere installati tramite sideloading.

All’avvio dell’app viene chiesto di scaricare un aggiornamento che è invece PromptSpy. L’app comunica in background con Gemini per ottenere la persistenza (esecuzione anche dopo il riavvio) come descritto in precedenza. Può essere rimossa solo in modalità provvisoria.

Il malware è uno spyware che installa un modulo VNC per l’accesso remoto, intercetta PIN e password della schermata di blocco, invia l’elenco delle app, cattura screenshot e registra le gesture dell’utente. Google ha comunicato che PromptSpy viene rilevato e bloccato dalla funzionalità Play Protect.

Fonte: Bleeping Computer

Pubblicato il 20 feb 2026

Link copiato negli appunti

Ti potrebbe interessare

OpenClaw nel mirino: infostealer intercetta dati sensibili

OpenClaw nel mirino: infostealer intercetta dati sensibili
eCampus multata dal Garante Privacy per il riconoscimento facciale

eCampus multata dal Garante Privacy per il riconoscimento facciale
Surfshark VPN in offerta flash a 1,99 euro al mese: come accedere alla promo

Surfshark VPN in offerta flash a 1,99 euro al mese: come accedere alla promo
AI e privacy: DuckDuckGo lancia l'editor immagini anonimo

AI e privacy: DuckDuckGo lancia l'editor immagini anonimo
OpenClaw nel mirino: infostealer intercetta dati sensibili

OpenClaw nel mirino: infostealer intercetta dati sensibili
eCampus multata dal Garante Privacy per il riconoscimento facciale

eCampus multata dal Garante Privacy per il riconoscimento facciale
Surfshark VPN in offerta flash a 1,99 euro al mese: come accedere alla promo

Surfshark VPN in offerta flash a 1,99 euro al mese: come accedere alla promo
AI e privacy: DuckDuckGo lancia l'editor immagini anonimo

AI e privacy: DuckDuckGo lancia l'editor immagini anonimo
Luca Colantuoni
Pubblicato il
20 feb 2026
Link copiato negli appunti