El equipo de investigación de ESET, compañía especializada en detección proactiva de amenazas, anunció el 20 de febrero de 2026 el descubrimiento de PromptSpy, el primer malware conocido para Android que utiliza inteligencia artificial generativa —concretamente, Gemini de Google— como parte de su flujo de ejecución. La campaña, distribuida a través de una aplicación llamada MorganArg, parece tener motivaciones económicas y está dirigida principalmente a usuarios de Argentina. Se trata del segundo malware basado en IA descubierto por ESET Research, tras PromptLock en agosto de 2025.
PromptSpy utiliza Gemini para analizar los elementos que aparecen en la pantalla del dispositivo comprometido y proporcionar instrucciones sobre cómo garantizar que la aplicación maliciosa permanezca en la lista de aplicaciones recientes, evitando que el sistema la elimine. Su objetivo principal es implementar un módulo de Virtual Network Computing (VNC) que permite a los atacantes ver la pantalla del dispositivo y realizar acciones de forma remota. Entre sus capacidades adicionales se incluyen la captura de datos de la pantalla de bloqueo, el bloqueo de intentos de desinstalación mediante la superposición de elementos invisibles en pantalla, la recopilación de información del dispositivo, la realización de capturas de pantalla y la grabación de actividad en vídeo.
«El uso de la IA generativa permite a los actores maliciosos adaptarse a prácticamente cualquier dispositivo, diseño o versión del sistema operativo Android, lo que puede ampliar enormemente el número de víctimas potenciales», afirmó Lukáš Štefanko, investigador de ESET que descubrió PromptSpy. El nombre de la aplicación —MorganArg, probablemente abreviatura de «Morgan Argentina»— y su ícono sugieren que busca hacerse pasar por el banco Morgan Chase con un enfoque regional.
PromptSpy nunca estuvo disponible en Google Play y se distribuye a través de un sitio web específico. Como integrante de la App Defense Alliance, ESET compartió sus hallazgos con Google, y los usuarios de Android con Google Play Services están protegidos automáticamente por Google Play Protect contra las versiones conocidas del malware. Para quienes ya tengan instalada la aplicación, la única forma de eliminarla es reiniciar el dispositivo en modo seguro —manteniendo pulsado el botón de encendido, luego «Apagar» y confirmando «Reiniciar en modo seguro»— y desinstalarla desde Ajustes → Aplicaciones → MorganArg.
