Prima di procedere
L'azienda di sicurezza informatica ESET ha recentemente scoperto PromptSpy, un malware per Android che rappresenta una minaccia inedita nel panorama della sicurezza mobile. La particolarità di questo virus risiede nell'utilizzo dell'intelligenza artificiale del chatbot Google Gemini per infiltrarsi nei dispositivi e persistere al loro interno. Le prime analisi suggeriscono che gli obiettivi principali di PromptSpy si trovino in Argentina, mentre l'origine del malware sarebbe da ricercare in Cina.
PromptSpy si connette a Gemini tramite API, inviando richieste predefinite che gli permettono di installare un modulo di accesso remoto sul dispositivo infetto. Sebbene la componente legata a Gemini sia relativamente piccola, essa svolge una funzione cruciale: sfruttare le capacità di interpretazione dell'interfaccia utente offerte da Google. In particolare, Gemini viene utilizzato per analizzare le immagini presenti sullo schermo del dispositivo compromesso e fornire a PromptSpy istruzioni dettagliate su come auto-registrarsi nella lista delle applicazioni recenti, rendendo più difficile la sua rimozione o l'interruzione del suo funzionamento da parte del sistema.
Secondo il rapporto di ESET, l'integrazione con l'IA generativa permette agli autori del malware di adattarsi a una vasta gamma di dispositivi, layout e versioni del sistema operativo, ampliando potenzialmente il numero di vittime. Le applicazioni dannose per Android spesso navigano nell'interfaccia utente, ma l'utilizzo di un'IA rende il processo molto più adattabile e sofisticato.
Le indagini di ESET hanno tracciato il percorso di PromptSpy fino a un sito di phishing che lo distribuiva tramite un dominio collegato. Sebbene entrambi i siti fossero offline al momento della scoperta, sono state trovate prove che suggeriscono l'utilizzo del marchio di JPMorgan Chase Argentina, indicando un focus regionale dell'attacco. I ricercatori di ESET hanno individuato PromptSpy dopo che alcuni campioni del virus sono stati caricati da utenti in Argentina sulla piattaforma di analisi malware di Google, VirusTotal.
Nella fase iniziale dell'attacco, gli utenti vengono invitati a concedere i permessi di installazione a un'applicazione chiamata MorganArg, che in realtà è il malware. Una volta ottenuto il permesso, il dispositivo comunica con un server controllato dagli attaccanti per scaricare e installare il resto del software dannoso. Questo include un modulo di calcolo tramite Virtual Networking Computing (VNC) e richiede l'accesso al servizio di accessibilità, consentendo ai criminali informatici di controllare da remoto il dispositivo Android infetto.
Come spiegato da ESET, questo permette ai criminali di vedere tutto ciò che accade sul dispositivo, eseguire tocchi, scorrimenti, comandi gestuali e inserire testo, come se avessero fisicamente lo smartphone in mano. Inoltre, il malware può intercettare il PIN di blocco schermo e registrare le attività sullo schermo. La rimozione di PromptSpy è particolarmente complessa, poiché il malware sovrappone dei rettangoli trasparenti su specifiche aree dello schermo, bloccando i comandi tattili quando si tenta di disinstallare o forzare l'arresto dell'applicazione. L'unico modo per rimuoverlo è riavviare il dispositivo in modalità provvisoria, dove le applicazioni di terze parti sono disabilitate e possono essere disinstallate in modo sicuro.
Nel codice di PromptSpy sono presenti frammenti di testo in lingua cinese, suggerendo un'origine del virus. Al momento, gli esperti di ESET non hanno ancora individuato campioni del caricatore o del payload completo, il che potrebbe indicare che PromptSpy sia ancora in fase di sviluppo o venga utilizzato come dimostrazione. Fortunatamente, non sono state trovate applicazioni infette da PromptSpy nel Google Play Store, e i meccanismi di protezione di Google Play Protect offrono una difesa adeguata contro questa minaccia. Tuttavia, è fondamentale rimanere vigili e scaricare applicazioni solo da fonti affidabili, prestando attenzione ai permessi richiesti e alle recensioni degli utenti. La consapevolezza e la prudenza rimangono le migliori armi contro le minacce informatiche in continua evoluzione.
