Argentina enfrenta una nueva amenaza cibernética: por primera vez se ha identificado un malware para Android que incorpora inteligencia artificial generativa. Conocido como PromptSpy, este virus aparece disfrazado como una app bancaria denominada MorganArg.

El descubrimiento fue realizado por ESET Research y marca un hito en el ámbito del cibercrimen en dispositivos móviles. Este malware no solo compromete la seguridad personal, sino que también utiliza IA para tomar decisiones autónomas en el teléfono de la víctima.

Funcionamiento del malware PromptSpy

Este virus se vuelve especialmente peligroso al capturar imágenes de la pantalla del dispositivo afectado. Las imágenes se convierten en un archivo XML y se envían al modelo de IA Gemini de Google, que devuelve instrucciones precisas en formato JSON, tales como qué tocar, dónde deslizar y qué gestos ejecutar. Todo esto tiene como objetivo mantener la aplicación maliciosa en la lista de aplicaciones recientes, dificultando su eliminación.

Después de la instalación, PromptSpy activa un módulo VNC, permitiendo a los atacantes observar la pantalla en tiempo real y controlar el dispositivo de manera remota como si lo tuvieran físicamente. Este malware también puede interceptar el PIN de desbloqueo, grabar la actividad del dispositivo y tomar capturas de pantalla bajo demanda.

Inicio del cibercrimen sofisticado en Argentina

Mario Micucci, especialista de ESET Latinoamérica, advierte que PromptSpy representa una nueva era para el malware en Android. Al transferir el control a una IA, los delincuentes logran un nivel de efectividad que incrementa el riesgo de robo de datos personales.

El uso del nombre MorganArg revela la profesionalización de estrategias de phishing que buscan impactar a la población local de forma directa. «Estamos ante operaciones más dinámicas, autónomas y locales», afirma Micucci, resaltando la urgencia de tomar medidas preventivas contra amenazas que evolucionan constantemente.

La fachada del falso banco

El malware se presenta como un banco conocido, Chase Bank, bajo la marca MorganArg. Su diseño visual y la presencia de un sitio web en español con un botón para iniciar sesión están orientados al público argentino, aunque nunca estuvo disponible en Google Play.

El programa se distribuyó a través de dominios externos, y las muestras fueron detectadas en VirusTotal desde Hong Kong y Argentina. Curiosamente, el sitio principal de descarga estaba fuera de línea al momento de la investigación.

ESET identificó dos variantes: la primera, VNCSpy, apareció en enero de 2025 y la segunda, PromptSpy, más avanzada con capacidades de IA, se detectó en febrero de 2026. Los elementos del código en chino simplificado sugieren un origen de desarrollo en un entorno hispanohablante.

Cómo protegerse y eliminar el malware

Hasta el momento, no se han registrado casos confirmados en la telemetría de ESET, lo que sugiere que podría estar en fase de prueba. Sin embargo, los investigadores consideran que la continuidad de dominios activos podría indicar campañas dirigidas a usuarios locales.

La única manera de eliminarlo es reiniciar el dispositivo en Modo Seguro, ir a Ajustes, buscar la aplicación MorganArg y desinstalarla. ESET también ha notificado a Google como parte de la App Defense Alliance, y Google Play Protect está configurado para bloquear versiones conocidas de este malware.