PromptSpy: il primo malware Android che usa l’IA generativa per restare invisibile

I ricercatori di ESET hanno scoperto PromptSpy, il primo malware Android documentato in grado di sfruttare un modello di intelligenza artificiale generativa direttamente nel proprio ciclo di esecuzione. La minaccia, analizzata dal ricercatore Lukas Stefanko, abusa del modello Gemini di Google per ottenere persistenza sui dispositivi compromessi, adattandosi dinamicamente all'interfaccia utente di ciascun dispositivo.

L'indagine ha portato alla luce due varianti di una famiglia di malware in precedenza sconosciuta. La prima versione, battezzata VNCSpy, è comparsa su VirusTotal il 13 gennaio 2026 con tre campioni caricati da Hong Kong. Il 10 febbraio 2026, quattro campioni di una versione più evoluta basata su VNCSpy sono stati caricati sempre su VirusTotal, questa volta dall'Argentina. L'analisi del codice sorgente suggerisce che il malware sia stato sviluppato in un ambiente di lingua cinese.

Come Gemini viene usato per la persistenza

Su molti dispositivi Android è possibile "bloccare" un'app nella lista delle applicazioni recenti, impedendone la chiusura durante la pulizia della memoria. PromptSpy sfrutta questa funzionalità come meccanismo di persistenza, ma il metodo per attivarla varia da produttore a produttore, rendendo difficile automatizzarne l'uso con script tradizionali. Qui entra in gioco Gemini: il malware invia al modello AI un dump XML dell'interfaccia attuale del dispositivo, comprendente elementi visibili, etichette testuali, tipi di classe e coordinate, e riceve in risposta istruzioni in formato JSON su quale azione compiere per bloccare l'app. Il processo si ripete in un loop finché Gemini non conferma il successo dell'operazione.

"PromptSpy dimostra come il ricorso all'AI generativa per interpretare gli elementi sullo schermo e decidere come interagire con essi permetta al malware di adattarsi a qualsiasi dispositivo, dimensione dello schermo o layout dell'interfaccia che incontra", ha dichiarato ESET. Si tratta, secondo i ricercatori, del primo caso documentato di malware Android che integra GenAI nel proprio flusso operativo, a differenza dei precedenti casi che utilizzavano il machine learning soltanto per analizzare screenshot ai fini di frodi pubblicitarie.

Le funzionalità di spionaggio

Al di là dell'innovazione legata all'AI, la funzione principale di PromptSpy è quella di uno spyware avanzato con modulo VNC integrato. Una volta ottenuti i permessi di Accessibilità, il malware consente agli attaccanti di visualizzare e controllare lo schermo del dispositivo in tempo reale. Attraverso il canale di comunicazione con il server C&C, cifrato in AES, gli operatori possono intercettare PIN e password della schermata di blocco, registrare come video lo schema di sblocco, acquisire screenshot su richiesta, registrare l'attività dello schermo e i gesti dell'utente, e ricevere informazioni sull'applicazione in primo piano.

PromptSpy si protegge attivamente dal tentativo di disinstallazione attraverso un meccanismo particolarmente insidioso: il malware sovrappone rettangoli trasparenti e invisibili sopra i pulsanti dell'interfaccia di sistema che contengono stringhe come "stop", "fine", "cancella" o "Disinstalla". L'utente, credendo di premere il tasto per rimuovere l'app, tocca in realtà un elemento invisibile che blocca l'azione. L'unico modo per procedere con la disinstallazione è riavviare il dispositivo in modalità provvisoria (Safe Mode), dove le app di terze parti risultano disabilitate.

Proof-of-concept o minaccia reale?

ESET ha dichiarato di non aver ancora rilevato PromptSpy nella propria telemetria, lasciando aperta la possibilità che si tratti ancora di un proof of concept. Tuttavia, i ricercatori non escludono un utilizzo reale: le analisi delle cache hanno rivelato l'esistenza di un dominio dedicato alla distribuzione e di una pagina web che imitava il sito di JPMorgan Chase Bank, ora offline. PromptSpy non è presente sul Google Play Store, e non è ancora chiaro come gli attaccanti intendessero distribuirlo, anche alla luce delle recenti misure di Google contro il sideloading.

Va ricordato che questo non è il primo caso di malware con componente AI scoperto da ESET: ad agosto 2025 i ricercatori avevano già documentato PromptLock, il primo ransomware guidato dall'intelligenza artificiale. Il caso PromptSpy conferma tuttavia una tendenza preoccupante: l'AI generativa non è più uno strumento esclusivo dei difensori, ma viene attivamente adottata dagli attori malevoli per rendere le proprie campagne più dinamiche, scalabili e difficili da contrastare.