L’evoluzione delle minacce informatiche nel panorama mobile ha raggiunto una nuova e preoccupante frontiera con la scoperta di PromptSpy, identificato dagli analisti di sicurezza come il primo malware per sistemi operativi Android a integrare attivamente funzionalità di intelligenza artificiale generativa per ottimizzare le proprie operazioni di esfiltrazione e inganno. A differenza dei software malevoli tradizionali, che si affidano a script statici e modelli di interazione predefiniti, questa minaccia sfrutta la versatilità dei Large Language Models per rendere le proprie campagne di cyber-spionaggio estremamente difficili da rilevare sia per gli utenti che per i sistemi di difesa automatizzati. Il malware non si limita a infettare il dispositivo, ma utilizza l’IA per analizzare il contesto dei dati catturati e per generare contenuti di social engineering altamente personalizzati, aumentando drasticamente il tasso di successo dell’intrusione.
Sotto il profilo tecnico, PromptSpy viene solitamente veicolato attraverso applicazioni apparentemente lecite, spesso camuffate da strumenti di produttività o utility basate proprio su servizi di intelligenza artificiale, sfruttando l’attuale interesse di massa per queste tecnologie. Una volta installata e ottenuti i permessi necessari, l’applicazione attiva un modulo dormiente che stabilisce una connessione con un server di comando e controllo remoto. La particolarità architettonica risiede nella capacità del malware di utilizzare API di servizi di IA generativa per elaborare in locale o in cloud i dati sottratti, come messaggi di testo, email e trascrizioni di chiamate. Questa analisi intelligente permette al malware di filtrare automaticamente le informazioni irrilevanti e di concentrarsi su credenziali di accesso, codici di autenticazione a due fattori e informazioni sensibili di natura finanziaria o aziendale, riducendo il traffico di rete anomalo che solitamente attiva i segnali di allarme dei firewall mobili.
L’integrazione dell’intelligenza artificiale generativa all’interno del codice malevolo consente inoltre a PromptSpy di condurre attacchi di phishing dinamico direttamente sul dispositivo della vittima. Attraverso l’osservazione dello stile comunicativo dell’utente, l’algoritmo è in grado di generare notifiche o messaggi di sistema che imitano perfettamente il tono e il linguaggio dei contatti fidati o delle applicazioni bancarie utilizzate dal bersaglio. Questa tecnica di “impersonificazione algoritmica” rende quasi impossibile per un utente non esperto distinguere una comunicazione legittima da un tentativo di frode generato sinteticamente. Inoltre, la capacità del malware di modificare il proprio comportamento in base alle risposte dell’ambiente operativo gli conferisce una forma di polimorfismo tattico, rendendo le firme virali tradizionali meno efficaci e costringendo i ricercatori di sicurezza a sviluppare nuovi modelli di rilevamento basati sull’analisi comportamentale euristica.
La gestione della memoria e il consumo di risorse rappresentano altri due elementi critici studiati dagli sviluppatori di PromptSpy per garantire la persistenza del malware. Per evitare che l’elevato carico computazionale richiesto dai processi di intelligenza artificiale provochi surriscaldamenti o rallentamenti evidenti del dispositivo, il software malevolo esegue le operazioni più onerose solo quando il telefono è collegato a una fonte di alimentazione o durante i periodi di inattività dell’utente. Questa strategia di occultamento energetico, unita alla crittografia avanzata dei dati esfiltrati, rende PromptSpy una minaccia di livello Advanced Persistent Threat (APT), segnando l’inizio di una nuova era in cui l’intelligenza artificiale non è solo uno strumento di difesa, ma diventa un’arma sofisticata nelle mani del crimine informatico globale.