Un nuevo programa malicioso (malware) fue detectado en una campaña que apunta a usuarios de Argentina esta semana: se trata de una aplicación falsa de inversiones llamada MorganArg que, una vez instalada, permite que un atacante tome el control del celular de la víctima. ESETempresa de ciberseguridad que lo descubrió y bautizó AvisoSpyseñala que como novedad se trata del primer caso conocido en Android que utiliza inteligencia artificial generativa como parte de su funcionamiento.
La aplicación no está disponible en la tienda oficial de Google, sino que se instala mediante archivos descargados desde enlaces externosuna práctica peligrosa pero común durante los últimos años. Por ejemplo, aplicaciones como MagistTV que se usan para acceder a contenidos de televisión paga se instalan mediante esta metodología (ejecutando archivos “APK”). No están en Google Play Store, lo cual ya es una primera señal de alerta.
MorganArg sigue la lógica de la mayoría de los engaños y estafas online de los últimos años: la promesa de retornos ante una inversión de dinero. La víctima recibe un enlace (por redes sociales, mensajes o publicidad online) que la lleva a descargar un APK y, al instalarla, la aplicación pide permisos avanzados, entre ellos acceso a funciones de accesibilidad.
Este tipo de permisos están pensados para ayudar a personas con discapacidades visuales o motrices, pero también pueden ser abusados para ver lo que ocurre en la pantallasimular pulsaciones y escribir en el nombre del usuario. Si la persona acepta esos permisos, el malware queda habilitado para interactuar con otras aplicaciones, leer contenido en pantalla y ejecutar acciones sin que el dueño del teléfono lo note.
Cómo opera PromptSpy y el foco: Argentina
Luego de que el usuario instaló el malware, el programa tiene acceso a múltiples funciones que son peligrosas. Una vez activo, puede leer mensajes y notificaciones, robar credenciales de acceso y datos personales, interceptar códigos de verificación enviada por SMSmanipular aplicaciones bancarias o de billeteras digitales y ejecutar órdenes en el teléfono como si fuera el propio usuario. Básicamente, una suerte de llave maestra a todo lo que hace el usuario de manera cotidiana.
Clarín contactó a Mario Micucciespecialista del laboratorio de ESET Latinoamérica, para entender mejor qué es PromptSpy. “Esto inaugura una nueva era para el malware en Android. Al delegar en la IA el control de la pantalla, los atacantes logran una efectividad sin precedentes en el robo de datos”, asegura el analista.
La aplicación tiene un logo que imita ser el de Chase, la marca comercial de JPMorgan Chase, uno de los bancos más grandes de Estados Unidos. “El uso del nombre MorganArg en Argentina refleja un cibercrimen que profesionaliza su ingeniería social para atacar donde más duele. Sin dudas, estamos ante operaciones más dinámicas, autónomas y locales, una advertencia definitiva de que las amenazas más sofisticadas a nivel global están operando activas en Argentina”, complementa Micucci.
MorganArg imita el logo de Chase. Captura: Investigación de ESETAl no distribuirse por la tienda oficial, el ataque depende de que la víctima acepte instalar aplicaciones desde “orígenes desconocidos”una práctica que aumenta considerablemente el riesgo del usuario.
Nuestro país aparece como el foco principal de esta amenaza. La falsa app de inversiones, que se presenta como una oportunidad financiera legítima, fue marcada como maliciosa el pasado 10 de febrero en una conocida plataforma (VirusTotal) que se dedica a cargar muestras de malware.
“Nuestro análisis de las muestras de Argentina reveló un malware multietapa con una carga maliciosa (payload) que hace un uso indebido de Gemini de Google. Basándonos en estos hallazgos, llamamos a la primera etapa de este malware PromptSpy dropper (programa inicial que instala el malware principal), ya su carga útil PromptSpy (el malware)”, explica Lukas Stefanko, investigador de ESET, en un blog de la compañía.
El rol de la IA en PromptSpy: qué es lo novedoso
Gemini, la IA de Google, fue clave en el desarrollo del malware. Foto: ArchivoLa inteligencia artificial tiene un papel importante en el desarrollo de este programa malicioso: “En concreto, Gemini (Google) se utiliza para analizar la pantalla actual y proporcionar a PromptSpy instrucciones paso a paso sobre cómo garantizar que la aplicación maliciosa permanezca anclada en la lista de aplicaciones recientes, evitando así que el sistema la eliminación fácilmente”, describe Stefanko.
“El modelo de IA y el aviso están predefinidos en el código y no pueden modificarse. Dado que el malware para Android a menudo se basa en la navegación por la interfaz de usuario, aprovechar la IA generativa permite a los actores de la amenaza adaptarse más o menos a cualquier dispositivo, diseño o versión del sistema operativo, lo que puede ampliar enormemente el grupo de víctimas potenciales”, complementa.
Hasta ahora, muchos programas maliciosos funcionaban con reglas fijas: si detectaban la aplicación de un banco específico, ejecutaban una acción predeterminada (por ejemplo, para copiar la contraseña y luego intentar entrar a la cuenta de usuario). En cambio, en este caso la IA analiza el contexto, entiende qué aplicación está abierta y genera instrucciones adaptadas a cada situación.
Por esto se lo describe como el primer malware conocido en Android que “abusa” de la IA generativa para manipular la interfaz de usuario según el contexto: utiliza tecnología pensada para generar texto o interpretar información, pero aplicada al control automático del teléfono.
Cómo protegerse de PromptSpy
Los programas maliciosos en móviles apuntan a robar datos. Foto: ShutterstockSi bien los consejos para estar a salvo son siempre los mismos, no está de más recordarlos, con el primero de todos a la cabeza: nunca instalar aplicaciones de orígenes desconocidos. Esto es, que no están por fuera de la tienda oficial, en este caso de Google.
En este sentido, es importante:
- Descargar Aplicaciones únicamente desde la tienda oficial de Google Play.
- Desconfiar de enlaces que prometen inversiones rápidas o rendimientos extraordinarios.
- No otorgar permisos de accesibilidad a aplicaciones que no lo justifican claramente.
- Revisar los permisos solicitados antes de instalar cualquier aplicación.
- Mantener el sistema operativo y las aplicaciones. actualizadas.
Ante cualquier comportamiento extraño, como movimientos automáticos en pantalla, pedidos inusuales de permisos o consumo anormal de datos o batería, se recomienda desinstalar la aplicación sospechosa y consultar con un especialista. En muchos casos, es conveniente reiniciar el dispositivo a valores de fábrica.
PromptSpy no es el primer caso de malware que usa IA. Hay una tendencia, como en toda la industria tecnológica, a que los procesos automáticos también generan software malicioso o se aprovechen en ataques.
Los beneficios de la IA son conocidos pero, junto con ellos, viene la contraparte de sus riesgos, donde uno de los más comunes es la seguridad.
