Fino a ieri, il malware era stupido. Seguiva script predefiniti, valori fissi nel codice, istruzioni così rigide che bastava un aggiornamento del sistema per renderle inutili. Da oggi non è più così. ESET ha scoperto PromptSpy, il primo malware Android che integra Google Gemini nel proprio codice per generare istruzioni di attacco in tempo reale. Da oggi il malware pensa.
Come funziona: il loop diabolico
PromptSpy opera in due stadi. Un dropper — che si spaccia per l'app di Chase Bank con il nome "MorganArg" — installa il payload principale. Da quel momento, parte un ciclo che non ha precedenti nel mondo del malware mobile:
- 1. Dump XML dello schermo: PromptSpy cattura la struttura completa di ogni elemento UI visibile — testo, tipo, posizione esatta
- 2. Prompt a Gemini: invia il dump insieme a un prompt in linguaggio naturale che chiede come manipolare lo schermo
- 3. Risposta JSON: Gemini risponde con istruzioni precise — dove tappare, dove swipare, cosa ignorare
- 4. Esecuzione via Accessibility Services: il malware esegue le istruzioni e fa un report a Gemini
- 5. Loop: il ciclo si ripete finché Gemini conferma che l'obiettivo è stato raggiunto