ESET Research heeft PromptSpy geïdentificeerd, een Android-dreiging die generatieve AI gebruikt om actief te blijven op een toestel. Volgens het beveiligingsbedrijf is dit de eerste bekende Android-malware die tijdens uitvoering een AI-model inzet om zijn gedrag aan te sturen.
De malware gebruikt Gemini van Google om te analyseren wat er op het scherm van een geïnfecteerd apparaat gebeurt. Op basis van die analyse ontvangt PromptSpy instructies om specifieke handelingen uit te voeren. Het doel is om de kwaadaardige app vast te zetten in de lijst met recente apps, vaak zichtbaar met een hangslotpictogram. Daardoor kan de app niet eenvoudig worden weggeveegd of automatisch worden afgesloten door het systeem.
De AI-functionaliteit beslaat slechts een beperkt deel van de code en is bedoeld om persistentie te regelen. Het gebruikte model en de bijbehorende prompt zijn hard gecodeerd en niet dynamisch aanpasbaar. Toch vergroot deze aanpak het aanpassingsvermogen van de malware, omdat navigatie via de gebruikersinterface niet langer afhankelijk is van vaste scripts die per apparaat of Android-versie verschillen.
Het primaire doel van PromptSpy ligt elders. De malware installeert een ingebouwde Virtual Network Computing-module waarmee aanvallers het scherm kunnen bekijken en het toestel op afstand kunnen bedienen. Daarnaast kan de dreiging gegevens van het vergrendelscherm vastleggen, apparaatinformatie verzamelen, schermafbeeldingen maken en schermactiviteit als video opnemen. Via misbruik van toegankelijkheidsdiensten blokkeert de malware pogingen tot deïnstallatie met onzichtbare overlays. De communicatie met de command-and-controlserver is versleuteld met AES.
Volgens ESET is dit de tweede keer dat het onderzoeksteam malware aantreft waarin generatieve AI een rol speelt. In augustus 2025 meldde het bedrijf al PromptLock, ransomware waarbij AI werd ingezet om functionaliteit aan te sturen. De inzet van dergelijke modellen past binnen een bredere ontwikkeling waarbij aanvallers experimenteren met automatisering en adaptieve technieken om detectie en verstoring te omzeilen.
Op basis van taalinstellingen en verspreidingsmethode lijkt de campagne financieel gemotiveerd en gericht op gebruikers in Argentinië. De malware wordt verspreid via een speciaal opgezette website en was nooit beschikbaar via Google Play. In de telemetrie van ESET is PromptSpy vooralsnog niet waargenomen, wat erop kan wijzen dat het om een proof of concept gaat of om een beperkt uitgerolde campagne.
De kwaadaardige app draagt de naam MorganArg en gebruikt een pictogram dat lijkt op dat van Morgan Chase. Ook op de bijbehorende website komt de naam MorganArg terug, vermoedelijk als afkorting van Morgan Argentina, wat de regionale focus onderstreept.
Als partner van de App Defense Alliance heeft ESET de bevindingen gedeeld met Google. Android-toestellen met Google Play Services zijn volgens het bedrijf automatisch beschermd tegen bekende varianten via Google Play Protect.
Doordat de malware deïnstallatie actief tegenwerkt, kan verwijdering alleen plaatsvinden via Veilige modus. In die modus worden apps van derden uitgeschakeld, waarna de app handmatig kan worden verwijderd via de instellingen.
