Ecco come ESET ha scoperto il PromptSpy, un malware Android capace di manipolare il sistema e impedire la disinstallazione su dispositivi Android.
Il malware Android PromptSpy è stato scoperto dai ricercatori di ESET come la prima minaccia nota a utilizzare l’AI generativa per ottenere persistenza all’interno del dispositivo. Questa tecnica consente agli attaccanti di guidare la manipolazione dell’interfaccia utente sfruttando il modello Google Gemini, rendendo la minaccia altamente adattabile. ESET ha denominato questa famiglia PromptSpy.
Funzionalità avanzate del malware
PromptSpy può acquisire informazioni sensibili dalla schermata di blocco, impedire la disinstallazione, raccogliere dettagli sul dispositivo, catturare screenshot e registrare l’attività dello schermo in formato video. Rappresenta la seconda minaccia AI-driven scoperta da ESET, dopo PromptLock, il primo ransomware Android con capacità simili, individuato nell’agosto 2025.
Sebbene l’uso dell’AI generativa sia limitato al modulo di persistenza, il suo impatto è significativo. Gemini fornisce istruzioni passo passo su come rendere l’app malevola “bloccata” nell’elenco delle app recenti, spesso contrassegnate da un’icona a forma di lucchetto, impedendone la chiusura o eliminazione.
Lukáš Štefanko, ricercatore ESET che ha scoperto PromptSpy
Il malware Android si basa spesso sulla navigazione tramite interfaccia utente; l’utilizzo dell’AI generativa consente agli attori malevoli di adattarsi a qualsiasi dispositivo, layout o versione del sistema operativo, ampliando notevolmente il bacino di potenziali vittime. Lo scopo principale di PromptSpy è distribuire un modulo Virtual Network Computing (VNC) integrato, che consente accesso remoto ai dispositivi. Abusa dei Servizi di Accessibilità per bloccare la disinstallazione tramite overlay invisibili e registra l’attività dello schermo. La comunicazione con il server di Command & Control avviene tramite crittografia AES.
Distribuzione e protezione
PromptSpy viene diffuso tramite siti web dedicati e non è mai apparso su Google Play. ESET, in qualità di partner della App Defense Alliance, ha condiviso le proprie analisi con Google. Gli utenti Android sono automaticamente protetti dalle versioni note tramite Google Play Protect.
Target regionale e caratteristiche dell’app
Analizzando localizzazione e vettori di distribuzione, la campagna appare finanziariamente motivata, con un possibile focus sugli utenti in Argentina. L’app malevola si presenta come “MorganArg”, con icona ispirata a Morgan Chase, suggerendo un tentativo di impersonificazione bancaria.
Come rimuovere PromptSpy
Poiché il malware blocca la disinstallazione sovrapponendo elementi invisibili sullo schermo, l’unico metodo efficace è riavviare il dispositivo in modalità provvisoria (Safe Mode). In questa modalità le applicazioni di terze parti vengono disabilitate, permettendo la rimozione regolare di MorganArg.
Per attivare la modalità provvisoria, tieni premuto il pulsante di accensione, premi a lungo “Spegni” e conferma il riavvio in modalità provvisoria (procedura variabile per produttore). Una volta riavviato, accedi a Impostazioni → App → MorganArg e disinstalla l’app senza interferenze.
