Investigadores de ESET Research hallaron una campaña que distribuye una aplicación llamada MorganArg, que incluye un malware nuevo bautizado como PromptSpy y que está dirigido principalmente a usuarios en Argentina. El hallazgo es reciente y se publicó como parte del seguimiento continuo de ESET sobre amenazas móviles.
Se trata del primer caso conocido de un malware para Android que integra la IA generativa dentro de su flujo de ejecución. IA generativa significa inteligencia artificial capaz de generar texto, instrucciones o acciones a partir de un prompt, similar a lo que hacen modelos como ChatGPT. ESET concluye que los atacantes apoyan parte de la lógica del malware en Gemini de Google, el modelo de IA que interpreta la pantalla del dispositivo para decidir qué acciones ejecutar. Por eso la familia fue nombrada PromptSpy.
En la práctica, Gemini actúa como un copiloto que mira lo que aparece en la pantalla y le dice al malware qué botones tocar o qué menús buscar, con el objetivo de que la app maliciosa permanezca en la lista de aplicaciones recientes. Esa persistencia es clave: es como pegar la app con pegamento para que el sistema no la cierre fácil. El malware también intenta instalar un módulo VNC, VNC significa Virtual Network Computing, que permite ver y controlar la pantalla de forma remota, y puede capturar datos de la pantalla de bloqueo, bloquear intentos de desinstalación, tomar capturas de pantalla y grabar vídeo de la actividad del dispositivo. Según ESET, el modelo y el prompt están incluidos en el código y no se pueden modificar desde fuera.
ESET considera que la campaña tiene motivaciones económicas y focaliza sus esfuerzos en usuarios argentinos mediante la app MorganArg. Este descubrimiento es el segundo incidente relacionado con malware impulsado por IA que reporta ESET, después de PromptLock, un caso de ransomware con soporte de IA reportado en agosto de 2025.
¿Qué significa esto para usuarios en Chile? Por ahora ESET describe la campaña como dirigida a Argentina, y no hay evidencia pública de una ola masiva hacia Chile, pero la técnica usada aumenta el riesgo de que variantes similarmente adaptativas se extiendan. La capacidad del malware para adaptarse a distintos diseños de interfaz y versiones de Android lo hace potencialmente viable en equipos variados.
Si tienes un teléfono Android, toma estas precauciones prácticas: evita instalar apps fuera de tiendas oficiales, desactiva la instalación desde orígenes desconocidos, y revisa los permisos de las apps; en particular revisa y limita el permiso de accesibilidad, el cual permite a una app controlar la interfaz y leer la pantalla. Activa Google Play Protect, que es el servicio de Google que escanea aplicaciones instaladas, y mantén Android y las apps actualizadas. Si sospechas que un dispositivo está comprometido, revoca permisos, desinstala la app sospechosa y cambia claves y cuentas desde otro equipo; si la intrusión persiste, considera hacer un respaldo y restaurar el teléfono a estado de fábrica. Complementar con una solución de seguridad móvil confiable puede ayudar a detectar comportamientos anómalos.
La lección es clara: la IA puede convertir al malware en un operador más flexible, no en una tecnología mágica que lo haga invencible. Para las empresas y los usuarios la recomendación es la misma que ante otras amenazas móviles, pero con más énfasis en no sideloadear apps y en controlar permisos sensibles. ESET y Google son quienes primero deben verificar si hay más variantes, y los usuarios deben mantenerse alerta mientras los proveedores de software remueven o bloquean estas aplicaciones.
