🤖 PromptSpy: el peligroso malware Android que usa IA para atacarte
hace 4 meses
PromptSpy: el primer malware Android que usa IA para atacarte de forma diferente a cada víctima
El malware ha dado un salto cualitativo: ya no sigue scripts fijos, sino que usa inteligencia artificial generativa para adaptarse a cada víctima en tiempo real.
En esta tribuna técnica de ciberseguridad documentamos cómo PromptSpy, descubierto por ESET Research en febrero de 2026, es el primer malware Android conocido que integra Google Gemini en su flujo de ejecución para lanzar ataques personalizados que ningún antivirus tradicional basado en firmas puede anticipar. Accede al catálogo completo de análisis de amenazas emergentes en el observatorio de amenazas digitales: banker trojans, overlay attacks, LLM weaponization y abuso de Accessibility Service en 2026.
💡 Resumen rápido
🤖 PromptSpy: qué es, cómo funciona y cómo proteger tu Android en 2026
PromptSpy es el primer malware Android conocido que integra IA generativa (Google Gemini) en su flujo de ejecución para adaptarse a cada víctima en tiempo real. Descubierto por ESET Research en febrero de 2026, captura la pantalla del dispositivo, envía un prompt a Gemini con el volcado XML de la interfaz activa y ejecuta las instrucciones JSON recibidas mediante el Servicio de Accesibilidad de Android.
- ✅ Cómo funciona en 5 fases: infección, recopilación, consulta a Gemini, ejecución y bucle adaptativo
- ✅ Por qué es más peligroso: ataques dinámicos y personalizados frente a scripts fijos del malware tradicional
- ✅ Qué puede hacer: robar contraseñas, interceptar mensajes, instalar backdoor y lanzar campañas de phishing automáticas
- ✅ 8 medidas de protección: solo Google Play, permisos de accesibilidad, Play Protect, anonimización de IP, 2FA y contraseñas únicas
- ✅ Señales de infección en Android: batería, apps desconocidas y permisos de accesibilidad activos sin autorización
📅 2026 · 🕐 9 minutos de lectura
💡 Definición rápida
PromptSpy: Primer malware Android conocido que integra IA generativa (Google Gemini) como componente activo de su flujo de ejecución. Analiza la pantalla del dispositivo infectado mediante volcado XML, envía un prompt a Gemini en lenguaje natural y ejecuta las instrucciones JSON recibidas mediante el Servicio de Accesibilidad de Android para lograr persistencia y lanzar ataques personalizados adaptados a cada víctima. Descubierto por ESET Research el 19 de febrero de 2026.
PromptSpy es un tipo de malware avanzado para Android que utiliza inteligencia artificial generativa para automatizar ataques, adaptarse al comportamiento del usuario y mejorar técnicas como el phishing personalizado o el robo de credenciales. Pertenece a la familia emergente del AI-driven malware y combina técnicas de RAT, spyware de pantalla, banker trojan y abuso del permiso de accesibilidad para conseguir un control casi total del terminal.
Para entender el contexto de amenazas, consulta el análisis técnico de familias de malware y virus informáticos modernos en 2026, donde clasificamos los principales tipos de amenazas digitales actuales junto a Anatsa, BRATA, Cerberus y otros bankers móviles.
📌 ¿Qué es PromptSpy?
PromptSpy es un troyano de acceso remoto (RAT) para Android que usa Google Gemini como motor de decisión en tiempo de ejecución. Sus características únicas frente al malware Android tradicional:
- Lógica dinámica: las instrucciones no están en el APK sino en las respuestas JSON de Gemini — sin firma predecible
- Personalización real: analiza el volcado XML de la pantalla activa y adapta el ataque a cada app y víctima
- Coste cero de personalización: Gemini genera las instrucciones para cualquier app bancaria del mundo sin plantillas previas
- Marca el inicio del LLM weaponization: primera vez que un LLM actúa como C2 de un malware móvil en activo
- Detectado por ESET Research el 19 de febrero de 2026 con muestras procedentes de Argentina
- ✔ Automatiza ataques usando respuestas en tiempo real de Google Gemini como motor de decisión.
- ✔ Genera mensajes de phishing personalizado convincentes con datos reales del dispositivo infectado.
- ✔ Se adapta dinámicamente según el comportamiento del usuario y la app activa en pantalla.
- ✔ Usa el Servicio de Accesibilidad de Android para ejecutar gestos y acciones sin intervención del usuario.
- ✔ Opera en un bucle de consulta-ejecución hasta confirmar persistencia, lo que lo hace resistente al cierre manual.
- ✔ Funciona como un orquestador cloud-augmented: la lógica de ataque vive en el modelo de IA, no en el APK.
💡 ¿Qué es el Servicio de Accesibilidad de Android y por qué lo abusa PromptSpy?
El Servicio de Accesibilidad de Android es una API del sistema diseñada para ayudar a personas con discapacidad: permite a las apps leer el contenido de la pantalla, simular toques y gestos, e interactuar con otras aplicaciones. Este malware abusa de este permiso porque otorga control casi total sobre la interfaz del dispositivo. Al combinarlo con las instrucciones JSON recibidas de Google Gemini, puede navegar por cualquier app, introducir texto, pulsar botones y capturar toda la información visible sin que el usuario lo note. Ninguna app legítima necesita acceso permanente a este servicio.
⚙️ ¿Cómo funciona PromptSpy?
El malware opera en 5 fases en bucle continuo:
- Infección inicial: APK malicioso descargado fuera de Google Play (vector confirmado: sitio fraudulento que suplantaba a JPMorgan Chase)
- Recopilación de datos: contactos, mensajes, historial de uso, apps instaladas y volcado XML de la interfaz activa
- Consulta a Google Gemini: envía el volcado XML + prompt en lenguaje natural y recibe instrucciones JSON adaptadas al contexto del dispositivo
- Ejecución vía Accesibilidad: usa el Servicio de Accesibilidad de Android para ejecutar gestos, introducir texto y navegar por apps sin intervención del usuario
- Bucle adaptativo de persistencia: repite el ciclo hasta confirmar anclaje, luego lanza ataques personalizados como phishing o robo de credenciales bancarias
- 📱 Infección inicial mediante APK malicioso descargado fuera de Google Play (vector confirmado: sitio web fraudulento que suplantaba a JPMorgan Chase bajo el nombre "MorganArg").
- 🔍 Recopilación de datos del dispositivo: contactos, mensajes, historial de uso, apps instaladas y captura de pantalla como volcado XML de la interfaz activa.
- 🤖 Consulta a Google Gemini: envía el prompt en lenguaje natural junto con el volcado XML y recibe instrucciones de ataque en formato JSON adaptadas al contexto actual del dispositivo.
- ⚡ Ejecución de acciones mediante accesibilidad: usa el Servicio de Accesibilidad de Android para ejecutar gestos, introducir texto y navegar por apps sin intervención del usuario.
- 🔄 Bucle adaptativo de persistencia: repite el ciclo consulta-ejecución hasta confirmar que la app está anclada y lanza ataques personalizados.
💡 ¿Qué es un volcado XML de pantalla y por qué lo usa el malware?
Un volcado XML de pantalla es una representación estructurada de todos los elementos de la interfaz visible en un dispositivo Android: botones, campos de texto, menús, valores mostrados y su jerarquía. El malware envía este volcado a Google Gemini para que la IA pueda "ver" exactamente qué app está activa y qué acciones son posibles. Gemini devuelve instrucciones JSON precisas del tipo "pulsa el campo de contraseña en coordenadas X,Y" que el malware ejecuta mediante el Servicio de Accesibilidad, sin necesidad de tener código específico para cada app objetivo.
🔁 Diagrama de la cadena de ataque (kill chain)
| Fase | Acción técnica | MITRE ATT&CK Mobile |
|---|---|---|
| 1. Initial Access | APK lateral descargado desde sitio fraudulento ("MorganArg") | T1660 Phishing / T1476 Deliver via Other Means |
| 2. Privilege Escalation | Engaño al usuario para conceder el Servicio de Accesibilidad | T1626 Abuse Elevation Control Mechanism |
| 3. Collection | Volcado XML de pantalla, lectura de contactos y mensajes | T1417 Input Capture / T1430 Location Tracking |
| 4. Command & Control | Consulta a Google Gemini para recibir instrucciones JSON | T1437 Application Layer Protocol |
| 5. Execution | Ejecución de gestos vía Accessibility API | T1623 Command and Scripting Interpreter |
| 6. Persistence | Bucle adaptativo hasta confirmar anclaje en sistema | T1624 Event Triggered Execution |
| 7. Exfiltration | Envío de credenciales y datos a servidores controlados | T1646 Exfiltration Over C2 Channel |
🏦 Comparativa de banker trojans Android: PromptSpy frente a sus predecesores
| Banker trojan | Año | Técnica principal | Usa IA / LLM | Targets |
|---|---|---|---|---|
| Anatsa (Teabot) | 2020 | Overlay + Accessibility abuse | ❌ No | 650+ apps bancarias EU/UK/US |
| BRATA | 2019 | RAT + Accessibility + factory reset | ❌ No | Bancos Italia, España, UK |
| Cerberus / Alien | 2019 | Overlay + keylogger + SMS interceptor | ❌ No | Bancos globales |
| Octo (ExobotCompact) | 2022 | VNC + overlay + Accessibility | ❌ No | Banca EU, exchanges cripto |
| Hydra | 2019 | Overlay + interceptor SMS | ❌ No | Bancos europeos |
| SharkBot | 2021 | ATS (Automated Transfer System) | ❌ No | Bancos EU/US, exchanges |
| VNCSpy | Enero 2026 | VNC + Accessibility | ❌ No | Argentina, misma campaña |
| PromptSpy | Febrero 2026 | Volcado XML + Gemini + Accessibility | 🔴 Sí (Google Gemini) | Apps bancarias adaptativas |
🚨 Por qué PromptSpy es más peligroso que otros malware Android
Siete dimensiones en las que PromptSpy supera al malware tradicional:
- Lógica dinámica vs scripts fijos: las instrucciones JSON provienen de Gemini en tiempo real — no hay firma predecible en el APK
- Phishing personalizado: usa datos reales del dispositivo (contactos, apps activas) para crear mensajes convincentes para cada víctima
- Detección difícil: comportamiento variable sin firma estática rompe el modelo de antivirus tradicional
- Persistencia dinámica: instrucciones de persistencia generadas por IA según el contexto del dispositivo
- Universal contra cualquier banco: Gemini genera overlays perfectos para cualquier app financiera del mundo sin plantillas previas
- Sin actualización de APK necesaria: se adapta en tiempo real usando el modelo de IA como motor
- Coste casi cero para el atacante: Gemini genera las instrucciones para cualquier objetivo automáticamente
| Característica | Malware tradicional | PromptSpy con IA generativa |
|---|---|---|
| Lógica de ataque | Scripts fijos y predecibles compilados en el APK | Dinámica; instrucciones JSON generadas por Gemini en tiempo real |
| Phishing | Mensajes genéricos idénticos para todas las víctimas | Phishing personalizado con datos reales del dispositivo y contactos |
| Detección por antivirus | Posible mediante análisis de firmas estáticas conocidas | Más difícil; comportamiento variable sin firma predecible |
| Persistencia | Técnicas estáticas codificadas en el malware | Instrucciones de persistencia dinámicas vía Gemini según el contexto |
| Adaptación a la víctima | Sin personalización; mismo ataque para todos | Analiza el volcado XML y adapta el ataque a la app activa |
| Evolución sin actualización | Requiere nueva versión del APK para cambiar comportamiento | Se adapta en tiempo real usando el modelo de IA como motor de decisión |
| Coste para el atacante | Alto (desarrollo y mantenimiento de scripts por app objetivo) | Bajo; Gemini genera las instrucciones para cualquier app automáticamente |
🧠 Qué puede hacer PromptSpy en tu dispositivo Android
- 🔑 Robar contraseñas y credenciales bancarias capturando los campos de texto mediante el Servicio de Accesibilidad — las credenciales sustraídas son la llave de tu correo, banca y RRSS, los tres niveles de identidad digital que el atacante puede secuestrar para operar en tu nombre durante meses (detallado en la guía sobre los 3 niveles de identidad digital protegidos con alias y separación de cuentas en 2026).
- 📨 Interceptar mensajes SMS y conversaciones de aplicaciones de mensajería instantánea.
- 👤 Suplantar la identidad de la víctima ante sus contactos usando phishing personalizado generado por IA — el mismo vector de fraude descrito en la guía técnica avanzada de phishing como vector inicial de fraude en 2026, pero ahora completamente automatizado con datos del propio dispositivo.
- 🎣 Crear campañas de phishing automáticas con datos reales del dispositivo y contexto de cada víctima.
- 👁️ Espiar la actividad del usuario en tiempo real mediante el volcado XML continuo de pantalla.
- 🚪 Instalar una backdoor silenciosa con persistencia que permite al atacante recuperar el acceso aunque se desinstale la app original — detallado en la referencia técnica de backdoors: cómo funcionan y cómo detectarlos en 2026.
- 📍 Mantener persistencia activa mediante el bucle de instrucciones aunque el usuario intente cerrar la app.
- 🌐 Exfiltrar datos del dispositivo (contactos, fotos, historial de ubicaciones) hacia servidores controlados por el atacante.
- 💳 Sortear el 2FA basado en SMS leyendo el código de verificación directamente desde la notificación antes de que el usuario lo introduzca.
- 🎤 Activar micrófono y cámara si tiene los permisos correspondientes, para vigilancia ambiental.
⚠️ Permisos peligrosos en Android y qué los suelen pedir
| Permiso | Riesgo si lo otorgas a app maliciosa | Apps legítimas que SÍ lo necesitan |
|---|---|---|
| Accessibility Service | 🔴 Control total de la UI; usado por todos los bankers | TalkBack, lectores de pantalla, asistentes |
| SYSTEM_ALERT_WINDOW | 🔴 Permite overlay attacks sobre cualquier app | Apps de chat flotante, gestores de ventanas |
| BIND_DEVICE_ADMIN | 🔴 Bloquea desinstalación, factory reset remoto (BRATA) | MDM corporativo, "Encontrar mi dispositivo" |
| RECEIVE_SMS / READ_SMS | 🔴 Captura códigos 2FA bancarios | Apps de mensajería predeterminadas |
| PACKAGE_USAGE_STATS | 🟠 Detecta cuándo abres apps bancarias | Apps de control parental, gestores de batería |
| REQUEST_INSTALL_PACKAGES | 🔴 Instala APKs adicionales sin tu intervención | Tiendas alternativas (F-Droid, Aurora Store) |
| RECORD_AUDIO | 🟠 Espionaje ambiental | Apps de llamada, grabadoras, asistentes |
| READ_PHONE_STATE | 🟡 Fingerprinting del dispositivo (IMEI) | Apps de telefonía y operadores |
| READ_CONTACTS | 🟠 Propagación lateral del phishing | Apps de mensajería, correo, redes |
| BIND_NOTIFICATION_LISTENER | 🔴 Lee notificaciones (códigos 2FA push) | Wear OS, asistentes, smartwatches |
🔐 Cómo protegerte de PromptSpy y del malware Android con IA
Las 8 medidas más eficaces ordenadas por impacto:
- Solo instalar apps desde Google Play — elimina completamente el vector de infección inicial por APK externo
- Revisar y revocar permisos de accesibilidad — ninguna app legítima necesita acceso permanente sin justificación clara
- Mantener Android actualizado — los parches mensuales cierran las vulnerabilidades que este malware explota
- Activar Google Play Protect — detecta las versiones conocidas antes de su instalación (activo por defecto)
- No descargar APKs de fuentes externas — el vector confirmado fue un sitio fraudulento que suplantaba a JPMorgan Chase
- Activar 2FA con TOTP o FIDO2 — resistente al vector SMS que PromptSpy puede interceptar
- Contraseñas únicas por servicio — si roba una, no compromete el resto
- Reducir exposición de red con VPN/DNS cifrado — limita el perfilado que alimenta el phishing personalizado
- ✅ Instala apps solo desde Google Play — el malware se distribuye exclusivamente fuera de tiendas oficiales mediante APKs maliciosos.
- 🔍 Revisa los permisos de accesibilidad activos — ninguna app legítima necesita acceso permanente al Servicio de Accesibilidad de Android sin justificación clara.
- 🔄 Mantén Android y las apps actualizadas — los parches de seguridad mensuales cierran las vulnerabilidades que este malware explota.
- 🛡️ Activa Google Play Protect — habilitado por defecto en dispositivos con Google Play Services, detecta las versiones conocidas antes de su instalación.
- 🚫 No descargues APKs de fuentes externas — el vector confirmado fue un sitio web fraudulento que suplantaba a JPMorgan Chase.
- 🌐 Reduce tu exposición de red — aprende cómo anonimizar tu IP pública con VPN y DNS cifrado para limitar el perfilado que alimenta el phishing personalizado de Gemini.
- 📱 Activa la autenticación en dos factores con TOTP y FIDO2 en todas tus cuentas bancarias y servicios críticos — paso a paso en la guía técnica completa de autenticación en dos factores con TOTP y FIDO2 en 2026.
- 🔑 Usa contraseñas únicas resistentes a robo móvil para cada servicio — paso a paso en el manual técnico para crear contraseñas únicas resistentes a robo móvil en 2026.
✅ Checklist de seguridad Android contra PromptSpy y malware con IA
Verifica estos 10 puntos en tu dispositivo Android para bloquear los vectores de infección:
- ☑ Solo instalo apps desde Google Play; nunca desde APKs externos ni enlaces de SMS o WhatsApp
- ☑ He revisado Ajustes → Accesibilidad: no hay apps con acceso que no haya autorizado yo
- ☑ Google Play Protect está activo: Ajustes → Google → Play Protect → Analizar dispositivo
- ☑ Android está actualizado a la última versión de seguridad disponible para mi dispositivo
- ☑ No tengo activada la opción "Instalar apps de fuentes desconocidas" en Ajustes → Seguridad
- ☑ He revisado las apps instaladas: no hay ninguna que no recuerde haber instalado yo
- ☑ El 2FA está activo en mi banca online y en mi correo electrónico principal
- ☑ Uso contraseñas únicas para cada servicio gestionadas con un gestor de contraseñas
- ☑ He verificado si mis credenciales están en bases de datos de filtraciones conocidas
- ☑ Tengo configurado bloqueo biométrico y PIN robusto en el dispositivo
✔ 10/10 = dispositivo blindado · ✘ menos de 7 = revisar urgente
🚨 Checklist post-infección: pasos urgentes si sospechas de PromptSpy
Si sospechas que tu Android está infectado, sigue estos pasos en orden:
- ☑ Activa modo avión para cortar la comunicación del malware con Gemini y los servidores C2
- ☑ Revoca permisos de accesibilidad a TODA app sospechosa en Ajustes → Accesibilidad
- ☑ Revoca permisos de administrador del dispositivo en Ajustes → Seguridad → Aplicaciones de administración
- ☑ Desinstala la app sospechosa (si BIND_DEVICE_ADMIN lo impide, primero revoca el permiso anterior)
- ☑ Cambia contraseñas críticas desde OTRO dispositivo limpio: banca, correo, redes sociales
- ☑ Contacta con tu banco para revisar movimientos y bloquear tarjetas si es necesario
- ☑ Migra el 2FA SMS a app TOTP (Aegis, Google Authenticator) o llave FIDO2
- ☑ Ejecuta análisis con Play Protect: Ajustes → Google → Play Protect → Analizar dispositivo
- ☑ Avisa a contactos: el malware puede haber enviado phishing personalizado en tu nombre
- ☑ Conserva evidencias (capturas, lista de apps, logs si tienes ADB) antes del factory reset
- ☑ Restablece de fábrica: Ajustes → Sistema → Opciones de restablecimiento → Borrar todos los datos
- ☑ NO restaures desde una copia previa a la infección; reinstala apps manualmente desde Google Play
- ☑ Llama al 017 (INCIBE) para orientación gratuita sobre el incidente
- ☑ Denuncia ante Policía Nacional / Guardia Civil si ha habido robo económico
⚠️ Señales de infección por PromptSpy en Android
| Señal de alerta | ¿Qué puede indicar? | Urgencia | Qué hacer |
|---|---|---|---|
| Batería que se agota anormalmente rápido | Proceso en segundo plano ejecutando el bucle de consultas a Gemini | 🟠 Revisa | Revisar apps activas en segundo plano y consumo de batería por app |
| Apps desconocidas instaladas | Instalación silenciosa de apps adicionales por el malware | 🔴 Actúa ya | Desinstalar inmediatamente y escanear con Play Protect |
| Permisos de accesibilidad activos que no reconoces | Necesita este permiso para ejecutar instrucciones de Gemini | 🔴 Actúa ya | Revocar inmediatamente en Ajustes → Accesibilidad |
| Mensajes enviados sin tu autorización | El malware usa tu cuenta para propagar phishing personalizado | 🔴 Actúa ya | Cambiar contraseñas, revocar acceso de apps y avisar a contactos |
| Lentitud inusual del sistema | Bucle de consultas a Gemini y procesamiento de respuestas JSON | 🟠 Revisa | Revisar uso de CPU en Ajustes → Batería → Uso de la batería |
| Consumo de datos móviles elevado sin causa | Exfiltración de datos y comunicación continua con Gemini | 🟠 Revisa | Revisar consumo de datos por app en Ajustes → Redes → Uso de datos |
| Calentamiento anormal del dispositivo | CPU ocupada con el proceso de volcado XML continuo | 🟠 Revisa | Verificar procesos activos y desconectar de Internet si persiste |
| Pantalla que se ilumina sola | El malware ejecuta gestos vía Accessibility en momentos sin uso | 🔴 Actúa ya | Modo avión, revisar accesibilidad y restaurar de fábrica si persiste |
🔬 Indicadores de Compromiso (IOCs) y comportamientos a vigilar
- 🌐 Conexiones salientes a endpoints de Gemini (
generativelanguage.googleapis.com) desde apps no relacionadas con productividad o asistentes oficiales. - 🔍 Llamadas continuas a
AccessibilityService.onAccessibilityEventvisibles en logsadb logcat. - 📊 Tráfico HTTP/HTTPS hacia dominios recién registrados (menos de 30 días según WHOIS).
- 📦 Tamaño desproporcionado del APK respecto a sus funcionalidades aparentes.
- 🔐 APK firmado con certificado autofirmado o con metadatos genéricos (Common Name: "Android Debug").
- 📱 Solicitud de múltiples permisos peligrosos en el primer arranque (Accessibility + SMS + Device Admin).
- 🔧 Apps que se reinstalan tras intentar desinstalarlas (mecanismo de persistencia activa).
- 📡 Tráfico de salida en momentos de inactividad del dispositivo (madrugada, dispositivo bloqueado).
- 🌍 Conexiones a servidores en países atípicos para el perfil del usuario, especialmente Rusia, Brasil, Argentina.
📋 Comparativa de medidas de protección frente a PromptSpy
| Medida de protección | Bloquea el vector de infección | Limita el daño si ya está infectado | Dificultad |
|---|---|---|---|
| Solo instalar apps de Google Play | ✅ Bloquea la infección inicial por APK externo | — | 🟢 Fácil |
| Google Play Protect activo | ✅ Detecta versiones conocidas antes de instalar | ✅ Analiza apps ya instaladas | 🟢 Automático |
| Revisar permisos de accesibilidad | — | ✅ Revoca el permiso clave que PromptSpy necesita para operar | 🟢 Fácil |
| Android actualizado | ✅ Cierra vulnerabilidades del sistema explotadas | — | 🟢 Fácil |
| 2FA con TOTP o FIDO2 | — | ✅ Bloquea el acceso aunque las credenciales sean robadas; resistente al bypass SMS | 🟢 Fácil |
| Contraseñas únicas por servicio | — | ✅ Limita el daño a una sola cuenta si hay robo de credenciales | 🟡 Media |
| No activar fuentes desconocidas | ✅ Impide la instalación de APKs externos | — | 🟢 Fácil |
| Inspección de tráfico saliente | — | ✅ Detecta conexiones a LLM no autorizadas | 🔴 Avanzada |
📱 Android vs iOS frente al malware con IA
| Factor | Android | iOS |
|---|---|---|
| Apertura del sistema | Permite sideloading de APKs | Solo App Store (salvo perfiles MDM) |
| API de accesibilidad | Permiso amplio, abuso documentado | Acceso muy restringido por sandbox |
| Lectura de pantalla por apps | Posible con permiso de accesibilidad | Solo VoiceOver del sistema |
| Permisos en background | Más permisivos según fabricante | Limitados estrictamente |
| Riesgo PromptSpy | 🔴 Real y documentado | 🟢 No aplicable en su forma actual |
| Defensa principal | Play Protect + revisar accesibilidad | Mantener iOS al día |
📚 Glosario rápido del malware con IA
| Término | Definición en una línea |
|---|---|
| LLM weaponization | Uso de un modelo de lenguaje de gran escala como componente activo de un ataque |
| AI-driven malware | Malware cuya lógica de decisión proviene de un modelo de IA, no de scripts fijos |
| Cloud-augmented malware | Malware cuya lógica vive parcialmente en la nube en lugar de en el binario |
| RAT | Remote Access Trojan, troyano de acceso remoto al dispositivo |
| Accessibility abuse | Abuso del Servicio de Accesibilidad de Android para controlar la interfaz |
| Screen scraping | Lectura programática del contenido visible en pantalla |
| Sideloading | Instalación de apps fuera de las tiendas oficiales |
| Volcado XML de pantalla | Representación estructurada de los elementos de la UI activa |
| Dynamic payload | Carga útil generada o entregada en tiempo de ejecución, no precompilada |
| EDR móvil / MTD | Mobile Threat Defense, detección y respuesta avanzada en dispositivos móviles |
| C2 | Command and Control, servidor que controla las acciones del malware |
| Banker trojan | Familia de malware especializada en credenciales bancarias |
| Overlay attack | Pantalla falsa superpuesta sobre una app real para capturar credenciales |
| Prompt injection | Inyección de instrucciones en el prompt enviado al LLM para alterar su comportamiento |
| Adversarial AI | Conjunto de técnicas ofensivas que aprovechan modelos de IA con fines maliciosos |
| IOC | Indicator of Compromise, indicador técnico que evidencia compromiso del sistema |
| ATS | Automated Transfer System, módulo que transfiere fondos automáticamente |
🧩 Contexto: el auge del malware Android con IA generativa
PromptSpy no es un caso aislado sino la primera muestra documentada de una tendencia que los investigadores llevan tiempo anticipando: el uso de modelos de lenguaje de gran escala (LLM) como componente activo del flujo de ejecución del malware. ESET descubrió también VNCSpy (enero 2026), otra familia de malware Android sin capacidades de IA pero de la misma campaña, lo que indica una infraestructura de ataque organizada y con recursos.
Aunque parezca un fenómeno puramente técnico, es la versión automatizada y a escala industrial de una técnica psicológica antigua: la ingeniería social. Cuando Gemini lee el volcado XML de la pantalla y devuelve instrucciones JSON para suplantar a la víctima ante sus contactos, lo que está haciendo es phishing personalizado en tiempo real. La novedad no es el truco, sino que ya no requiere un humano detrás escribiendo el mensaje. Profundiza en el análisis técnico de la ingeniería social y los sesgos cognitivos del fraude en 2026 para entender cómo encaja en la séptima categoría (deepfakes y ataques con IA generativa).
El uso de IA generativa al servicio del fraude no se limita al malware móvil. En paralelo ha emergido también la estafa del sí, donde el atacante graba la voz de la víctima diciendo "sí" al descolgar y la reutiliza, eventualmente clonada con IA, ante servicios bancarios de verificación por voz. Profundiza en el análisis profundo de la estafa del sí con clonación de voz IA en 2026 para entender el ataque hermano en el ecosistema del fraude impulsado por IA generativa.
💡 PromptSpy vs malware Android tradicional: cronología del salto cualitativo
- 2017-2022: Malware Android con scripts fijos; cada app objetivo requería código específico
- 2023-2024: Integración de técnicas de automatización mediante UI Automator; más flexible pero aún estático
- Enero 2026: VNCSpy, misma campaña que PromptSpy pero sin IA generativa
- Febrero 2026: PromptSpy, primer malware Android con LLM como motor de decisión en tiempo de ejecución
- Impacto esperado: Punto de inflexión; los próximos malware con IA tendrán menor coste de desarrollo y mayor capacidad de personalización
Para saber si tus datos han sido expuestos en filtraciones previas que podrían alimentar ataques de phishing personalizado como los descritos, consulta el manual técnico de Dark Web Monitoring para detección temprana de credenciales filtradas en 2026.
🏁 Conclusión
PromptSpy representa una nueva generación de malware impulsado por IA generativa, más sofisticado y difícil de detectar mediante análisis de firmas estáticas que cualquier amenaza Android anterior. La capacidad de adaptarse en tiempo real usando Google Gemini como motor de decisión lo convierte en un punto de inflexión en el panorama de ciberamenazas móviles. La mejor defensa sigue siendo no instalar APKs fuera de Google Play y revisar los permisos del Servicio de Accesibilidad de Android — dos medidas gratuitas que eliminan el vector de ataque principal.
- 🔒 Nunca instales APKs fuera de Google Play: es la única medida que bloquea completamente el vector de infección inicial.
- 🔒 Revisa los permisos del Servicio de Accesibilidad ahora mismo en Ajustes → Accesibilidad: ninguna app legítima los necesita de forma permanente sin que tú lo hayas autorizado.
- 🔒 Google Play Protect activo es tu primera línea de defensa automática; verifica que está habilitado en Ajustes → Google → Play Protect.
- 🔒 El 2FA protege tus cuentas aunque el malware robe tus credenciales; actívalo en correo y banca sin excepción.
- 🔒 Migra del 2FA por SMS al TOTP (Aegis, Google Authenticator) o FIDO2/WebAuthn — los únicos resistentes a este vector y a banker trojans modernos.
- 🔒 Este malware no afecta a iOS, pero la tendencia del LLM weaponization confirma que las amenazas móviles con IA van en aumento en todas las plataformas.
❓ Preguntas frecuentes sobre PromptSpy
¿Qué es PromptSpy exactamente?
👉 Es el primer malware Android conocido que abusa de Google Gemini como motor de decisión en tiempo de ejecución para mantener persistencia dinámica y lanzar ataques personalizados. Fue descubierto por ESET Research el 19 de febrero de 2026, con muestras subidas desde Argentina.
¿Es una amenaza real o teórica?
👉 Es una amenaza real y documentada. ESET Research confirmó su descubrimiento con muestras analizadas. No es un concepto teórico de investigación ni una prueba de concepto: es malware en activo con capacidad de robo de credenciales e instalación de backdoor.
¿Cómo se propaga este malware?
👉 Mediante APKs maliciosos distribuidos fuera de Google Play y sitios web fraudulentos de ingeniería social. El vector confirmado fue un sitio que suplantaba la identidad de JPMorgan Chase bajo el nombre "MorganArg".
¿Google Play Protect protege contra esta amenaza?
👉 Sí, frente a las versiones conocidas. Los usuarios con Google Play Protect activo están protegidos frente a las variantes identificadas por ESET Research. La protección más eficaz sigue siendo no instalar APKs de fuentes externas a Google Play.
¿Por qué es más peligroso que otros malware Android?
👉 Porque usa IA generativa como motor de decisión en tiempo real en lugar de seguir scripts fijos. Esto lo hace significativamente más difícil de detectar mediante análisis de firmas estáticas y más efectivo para engañar a cada víctima de forma personalizada usando el volcado XML de su pantalla como contexto.
¿Afecta a iPhone o solo a Android?
👉 Solo a Android en su forma actual. Explota el Servicio de Accesibilidad de Android, una API específica de este sistema operativo que iOS restringe de forma mucho más estricta por diseño.
¿Qué tengo que hacer si creo que mi Android está infectado?
👉 Primero, activa modo avión para cortar la comunicación con Gemini y el C2. Segundo, revisa Ajustes → Accesibilidad y revoca el permiso a cualquier app que no reconozcas. Tercero, ejecuta un análisis con Google Play Protect. Cuarto, revisa las apps instaladas y desinstala las desconocidas. Si ves mensajes enviados sin tu autorización o accesos bancarios no reconocidos, cambia todas las contraseñas desde otro dispositivo y activa el 2FA inmediatamente. Llama al 017 (INCIBE) si necesitas orientación. Como último recurso, restablece de fábrica sin restaurar la copia previa a la infección.
¿Puede PromptSpy saltarse el 2FA?
👉 Sí, en su forma basada en SMS. Como tiene control de la interfaz vía el Servicio de Accesibilidad, puede leer el código de verificación directamente desde la notificación. Por eso es preferible 2FA con app TOTP (Aegis, Google Authenticator) o llave hardware FIDO2/WebAuthn. Las passkeys (FIDO2/WebAuthn) son inmunes incluso a este malware porque validan criptográficamente el dominio del servicio en el propio dispositivo.
¿Reiniciar el móvil elimina PromptSpy?
👉 No. PromptSpy logra persistencia mediante el bucle adaptativo que asegura su anclaje. Para erradicarlo con garantías hay que desinstalar la app maliciosa, revocar permisos de accesibilidad, ejecutar Play Protect y, en casos confirmados, restablecer el dispositivo a valores de fábrica sin restaurar copias del sistema previas a la infección.
¿Veremos próximamente malware similar para iOS?
👉 Es poco probable en la forma actual. iOS no expone una API equivalente al Servicio de Accesibilidad de Android, y el sideloading sigue siendo muy restringido. Sin embargo, la tendencia del LLM weaponization sí afectará a iOS por otras vías: phishing por iMessage potenciado por IA, deepfakes de voz por FaceTime y malware con IA en macOS conectado al iPhone son escenarios plausibles a medio plazo.
Deja una respuesta