A empresa de cibersegurança ESET acaba de revelar uma ameaça inédita que muda o jogo no cibercrime móvel: o PromptSpy. Identificado esta semana, trata-se do primeiro malware para Android conhecido que abusa ativamente da Inteligência Artificial generativa do Google (Gemini) para analisar o ecrã do telemóvel da vítima e tomar decisões automáticas que impedem a remoção do vírus.
O que faz o PromptSpy ser diferente
Até agora, os vírus de telemóvel dependiam de instruções rígidas (coordenadas fixas no ecrã) para clicar em botões e conceder permissões a si próprios. O problema para os hackers é que essas táticas falhavam frequentemente quando a vítima usava uma marca de telemóvel diferente ou um ecrã de tamanho distinto. O PromptSpy resolveu isso introduzindo a IA generativa: o malware captura o que está no ecrã, envia essa informação para a API do Google Gemini e pede à IA que lhe diga exatamente onde deve “clicar” para atingir o seu objetivo.
O mecanismo de sobrevivência
Segundo a investigação técnica da ESET, o PromptSpy usa o Gemini para criar um mecanismo de persistência sofisticado. O malware solicita à IA instruções passo a passo para navegar nos menus do Android e “trancar” a aplicação maliciosa na lista de aplicações recentes (usando a função “Lock/Pin”). Isto impede que o utilizador encerre a app acidentalmente ao limpar a memória do telemóvel. O ciclo repete-se até o Gemini confirmar que o bloqueio foi bem-sucedido.
Risco de acesso total à conta bancária
O uso da Inteligência Artificial é apenas a “armadura” do vírus. O seu verdadeiro objetivo é funcionar como um RAT (Remote Access Trojan). Uma vez instalado e protegido pela IA, o PromptSpy instala silenciosamente um módulo VNC (Virtual Network Computing), dando ao atacante controlo remoto total sobre o telemóvel da vítima. O criminoso pode ver o ecrã em tempo real, interagir com aplicações bancárias e roubar códigos de autenticação sem que o dono do aparelho perceba.
Como ocorre a infeção
A ESET confirmou que o PromptSpy não está, nem nunca esteve, disponível na Google Play Store. A infeção ocorre através de táticas de engenharia social (sideloading). As vítimas são encaminhadas para sites falsos ou recebem links por WhatsApp e SMS que as induzem a descarregar e instalar manualmente um ficheiro APK malicioso (muitas vezes disfarçado de uma atualização de sistema ou de uma aplicação útil).
O que pode acontecer a seguir
Embora os investigadores afirmem que a campanha atual parece estar limitada e focada na América Latina (como Argentina), a prova de conceito está dada. A integração de modelos como o Gemini em malware móvel reduz drasticamente o esforço dos hackers para criar vírus adaptáveis a qualquer dispositivo. Para utilizadores de Android, a regra de proteção passa a ser absoluta: nunca instalar aplicações fora da loja oficial do Google.
🤔 Faltou alguma coisa?
Ajude-nos a melhorar este conteúdo com a sua sugestão.
