Home Android PromptSpy: scoperto il primo malware Android che usa l’AI generativa per ottenere...

PromptSpy: scoperto il primo malware Android che usa l’AI generativa per ottenere persistenza

Di
Vito
-
0
381
malware android

ESET scopre PromptSpy, la nuova minaccia Android basata su Google Gemini

I ricercatori di ESET, specialista globale nel mercato della cybersecurity, hanno individuato PromptSpy, la prima minaccia Android nota a utilizzare l’AI generativa nel proprio flusso di esecuzione per ottenere persistenza sul dispositivo.

Si tratta di un caso senza precedenti: è la prima volta che l’intelligenza artificiale generativa viene impiegata in questo modo all’interno di un malware Android.

Dal momento che gli attaccanti si affidano al prompting di un modello AI – in particolare Google Gemini – per guidare la manipolazione malevola dell’interfaccia utente, ESET ha denominato questa nuova famiglia di minacce proprio PromptSpy.

Come funziona PromptSpy: AI generativa per bloccare l’app sullo smartphone

PromptSpy utilizza l’AI generativa in una parte specifica del proprio codice, quella responsabile della persistenza. Sebbene il suo impiego sia limitato a questa funzione, l’impatto sull’adattabilità della minaccia è significativo.

In particolare, il modello Gemini viene sfruttato per fornire istruzioni passo dopo passo su come rendere l’app malevola “bloccata” (pinned) nell’elenco delle app recenti. In molti launcher Android, questa funzione è contrassegnata da un’icona a forma di lucchetto nella schermata multitasking.

Bloccando l’app in questo modo, il sistema non può chiuderla né eliminarla facilmente, rendendo molto più complessa la rimozione da parte dell’utente.

Il modello AI e il prompt utilizzati sono predefiniti nel codice del malware e non possono essere modificati.

Secondo Lukáš Štefanko, ricercatore ESET che ha scoperto PromptSpy, l’uso dell’AI generativa consente agli attori malevoli di adattarsi praticamente a qualsiasi dispositivo, layout o versione del sistema operativo Android, ampliando in modo considerevole il numero potenziale di vittime.

Le funzionalità malevole: VNC, screenshot e controllo remoto

Lo scopo principale di PromptSpy è distribuire un modulo Virtual Network Computing (VNC) integrato, che permette agli operatori di ottenere accesso remoto completo al dispositivo infetto.

Tra le principali funzionalità del malware troviamo:

  • Acquisizione di dati dalla schermata di blocco

  • Raccolta di informazioni sul dispositivo

  • Acquisizione di screenshot

  • Registrazione dell’attività dello schermo in formato video

  • Blocco dei tentativi di disinstallazione tramite overlay invisibili

  • Comunicazione con il server di Command & Control tramite crittografia AES

PromptSpy abusa inoltre dei Servizi di Accessibilità di Android per impedire la rimozione dell’app, sovrapponendo elementi invisibili sullo schermo che bloccano l’interazione dell’utente.

Distribuzione e obiettivi della campagna

Il malware viene distribuito tramite un sito web dedicato e non è mai stato disponibile su Google Play.

In qualità di partner della App Defense Alliance, ESET ha condiviso le proprie analisi con Google. Gli utenti Android risultano automaticamente protetti dalle versioni note di PromptSpy grazie a Google Play Protect, attivo per impostazione predefinita sui dispositivi dotati di Google Play Services.

In base agli indizi linguistici e ai vettori di distribuzione osservati durante l’analisi, la campagna sembra finanziariamente motivata e rivolta principalmente a utenti in Argentina.

Il malware utilizza il nome dell’app “MorganArg” e un’icona apparentemente ispirata a Morgan Chase, impersonando così l’istituto bancario. “MorganArg”, probabilmente abbreviazione di “Morgan Argentina”, compare anche come nome del sito web memorizzato nella cache, suggerendo un possibile focus regionale.

Tuttavia, PromptSpy non è stato finora osservato nella telemetria ESET, elemento che potrebbe indicare un proof of concept piuttosto che una campagna su larga scala già attiva.

Come rimuovere PromptSpy dallo smartphone Android

Poiché PromptSpy blocca la disinstallazione tramite overlay invisibili, la rimozione standard non è sufficiente.

L’unico metodo efficace consiste nel riavviare il dispositivo in modalità provvisoria (Safe Mode), in cui le app di terze parti vengono disabilitate temporaneamente.

Generalmente, per accedere alla modalità provvisoria è necessario:

  1. Tenere premuto il pulsante di accensione

  2. Premere a lungo l’opzione “Spegni”

  3. Confermare il riavvio in modalità provvisoria

La procedura può variare a seconda del produttore e del modello di smartphone.

Una volta avviato il dispositivo in modalità provvisoria, è possibile accedere a:

Impostazioni → App → MorganArg

e procedere alla disinstallazione senza interferenze

Ti potrebbero interessare:

Avatar for Vito
Vito
CEO e fondatore del sito Chiccheinformatiche. Appassionato da anni all’informatica, è un programmatore esperto con la passione per le novità e gli aggiornamenti. Diplomato presso l’ITIS, vanta la realizzazione di software e applicazioni per computer e dispositivi mobili. Con una comprovata esperienza nell’ambito dei sistemi di rete, è esperto anche in hardware e installazioni di network. Oltre all’informatica ha un’altra grande passione, il calcio, che coltiva allenando una squadra di categoria dilettante con enormi soddisfazioni.

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here

NOTA BENE: tutti i commenti che inserisci entrano a far parte di una coda di moderazione e quindi se non li vedi è del tutto normale. Devi aspettare che l'amministratore del sito li veda e li approvi (con relativa risposta). Per questo motivo si è pregati di inviare un solo commento per volta per non intasare il sito di commenti doppi. Tranquilli! Rispondiamo a tutti. Dateci solo il tempo :)

Notificami per e-mail

Questo sito utilizza Akismet per ridurre lo spam. Scopri come vengono elaborati i dati derivati dai commenti.

SCELTO DALLA REDAZIONE

ARTICOLI POPOLARI

CATEGORIE POPOLARI

© ChiccheInformatiche Copyright 2019 | Le Chicche - Partita IVA 08316241218