Según informó SecurityWeek el 20 de febrero de 2026, PromptSpy es una familia de malware para Android recientemente identificada y desarrollada por cibercriminales. Su principal función es usar Google Gemini en tiempo de ejecución para analizar el contenido en pantalla y ayudar al malware a permanecer instalado y activo en los dispositivos infectados.

¿Cuál es la amenaza?

PromptSpy es una cepa de malware para Android que se distribuye a través de aplicaciones maliciosas (APK). Su comportamiento característico es usar Google Gemini en tiempo real para interpretar los elementos en pantalla. Esto le permite decidir cómo reaccionar cuando los usuarios abren la configuración de seguridad, las páginas de administración de aplicaciones o los diálogos de eliminación, lo que dificulta considerablemente su desinstalación.

El malware observa la interfaz de usuario, llama a Gemini para interpretarla y modifica su comportamiento para mantener los permisos y servicios en funcionamiento. Esta toma de decisiones basada en IA le otorga a PromptSpy una ventaja sobre el malware que depende de suposiciones fijas de la interfaz de usuario.

¿Por qué es digno de mención?

Primer ejemplo de malware móvil asistido por IA

PromptSpy es una de las primeras familias de malware para Android observadas públicamente que integra un sistema de IA generativa durante la ejecución, no solo durante el desarrollo. Esto demuestra cómo los atacantes están evolucionando, pasando de usar IA para escribir código a usarla como componente activo del comportamiento del malware.

Persistencia adaptativa a través de la comprensión de la interfaz de usuario

Al delegar la interpretación de la interfaz de usuario a Gemini, PromptSpy evita las reglas frágiles vinculadas a la ubicación de botones, versiones o idiomas específicos. Esto le proporciona una mayor persistencia en compilaciones de Android, máscaras OEM e interfaces localizadas.

Más difícil de detectar utilizando heurísticas tradicionales

Los comportamientos guiados por IA pueden variar según el contexto, dificultando su detección mediante firmas estáticas o patrones predecibles.

Una señal de las futuras tendencias del malware

PromptSpy demuestra que los adversarios pueden integrar plataformas comerciales de IA directamente en el malware, ampliando las capacidades de evasión y persistencia.

¿Cuál es la exposición o riesgo?

Una vez instalado, PromptSpy presenta varios riesgos:

• Acceso no autorizado a largo plazo: persistencia impulsada por IA que permite control sostenido.
• Privacidad y exposición de datos: acceso a mensajes, correos y aplicaciones sensibles.
• Interacción remota del dispositivo: control interactivo en tiempo real.
• Abuso secundario: uso en fraudes, botnets o evasión de MFA.

Para las empresas que gestionan dispositivos Android corporativos o BYOD, PromptSpy puede provocar fugas de datos, acceso oculto y permanencia prolongada cuando la visibilidad de MDM/EDR es limitada.

Recomendaciones

1. Limitar instalaciones a tiendas confiables y bloquear APK externas cuando sea posible.
2. Auditar aplicaciones con permisos de alto riesgo.
3. Utilizar soluciones móviles antivirus/EDR integradas al SOC.
4. Mantener actualizados Android y aplicaciones críticas.
5. Capacitar a usuarios y definir protocolos claros ante incidentes.
6. Incorporar modelos de amenazas basados en IA y monitorear tráfico sospechoso.