PromptSpy: Malware Android Usa IA do Gemini para Persistência e Coleta de Dados

Pesquisadores descobriram o PromptSpy, um malware Android inovador que usa o modelo de IA Gemini da Google para uma capacidade inédita: compreender e interagir com a interface gráfica do dispositivo infectado para garantir persistência e coletar dados de forma mais eficaz. ## Como o PromptSpy funciona O PromptSpy representa uma nova geração de malware que aproveita IA para superar limitações técnicas tradicionais: ### Interpretação de UI com Gemini O malware tira screenshots periódicas da tela do dispositivo e as envia para o Gemini API (usando uma chave roubada ou conta comprometida). Em seguida, ele usa as respostas do Gemini para "entender" o que está sendo exibido na tela — mesmo que a interface mude com atualizações do sistema. Isso permite que o malware: - Identifique quando aplicativos bancários estão abertos - Leia notificações de autenticação 2FA - Encontre e exfiltre arquivos específicos pelo nome - Detecte tentativas de remoção e se reative ### Persistência avançada O PromptSpy implementa múltiplas técnicas de persistência: - Abuso de serviços de acessibilidade do Android - Registro como administrador de dispositivo para resistir à remoção - Cópia para armazenamento externo - Reagendamento via WorkManager ## Distribuição e impacto O malware foi distribuído principalmente através de APKs falsos de aplicativos populares na Argentina (apps bancários, de entrega e serviços públicos). Pesquisadores estimam milhares de dispositivos comprometidos. ## Como se proteger - Instale aplicativos apenas da Google Play Store oficial - Verifique permissões de acessibilidade regularmente - Use soluções de segurança móvel reconhecidas - Desconfie de apps que pedem permissão de administrador de dispositivo