Ricercatori hanno segnalato la comparsa del primo malware Android in grado di utilizzare AI generativa durante la sua esecuzione, segnando un nuovo livello di sofisticazione nelle minacce mobili. La scoperta, documentata dagli esperti di ESET, riguarda una famiglia di malware denominata PromptSpy, che sfrutta il modello Gemini di Google per adattare il proprio comportamento in tempo reale a dispositivi Android diversi.
AI generativa: il nuovo arsenale del malware Android
Per la prima volta, un codice malevolo non si limita a seguire istruzioni predefinite, ma interroga un modello di intelligenza artificiale generativa per decidere le azioni successive. Il malware invia a Gemini informazioni su ciò che appare sullo schermo del dispositivo infetto e riceve indicazioni su come procedere, adattandosi così alle diverse configurazioni e interfacce Android.
L’integrazione di intelligenza artificiale generativa nei processi del malware segna una svolta rispetto alle tecniche tradizionali di camuffamento. Invece di sfruttare esclusivamente vulnerabilità note o script rigidi, PromptSpy sfrutta le capacità adattive di Gemini per variare il comportamento in base al dispositivo ospitante. Questa flessibilità consente di scegliere la strategia migliore per consolidare la propria presenza sul sistema e aumentare la difficoltà di rilevamento.
Oltre a rendere il malware più resistente, l’uso di AI generativa complica le analisi tradizionali. Sistemi di sicurezza classici, basati su firme e comportamenti predeterminati, possono non rilevare varianti uniche generate in tempo reale. Il risultato è un codice malevolo che può differire significativamente da un dispositivo all’altro, rendendo la prevenzione più complessa e richiedendo approcci più avanzati di monitoraggio dinamico.
Gemini e la persistenza delle infezioni
Il ruolo di Gemini nella malware Android AI generativa è cruciale. Il modello di Google permette al malware di mappare l’ambiente operativo con precisione e di adattare le proprie tecniche per rimanere attivo più a lungo. In pratica, PromptSpy può raccogliere informazioni sensibili, come applicazioni installate o credenziali della schermata di blocco, e ostacolare tentativi di rimozione. La presenza dell’AI genera un precedente potenzialmente imitabile da altre famiglie di malware, ridefinendo il rapporto tra attaccanti e software di difesa.
Secondo i ricercatori, la capacità di adattamento cross-device costituisce il vero punto di svolta. Anche se al momento i campioni individuati sembrano limitati e distribuiti attraverso domini dedicati che impersonano grandi istituti bancari, il potenziale di diffusione non può essere sottovalutato. La combinazione tra spyware e intelligenza artificiale apre la strada a malware più resilienti e meno prevedibili, con un impatto significativo sulla sicurezza degli utenti Android.
La risposta di Google: nessuna app del genere è su Google Play
All’indomani della pubblicazione del report, un portavoce di Google ha dichiarato:
“Sulla base delle nostre attuali rilevazioni, nessuna app contenente questo malware è presente su Google Play. Gli utenti Android sono automaticamente protetti contro le versioni conosciute di questo malware tramite Google Play Protect, attivo di default sui dispositivi Android con Google Play Services. Play Protect può avvisare o bloccare app che mostrano comportamenti dannosi, anche se provengono da fonti esterne a Play.”
ESET ha confermato di aver condiviso i propri risultati con Google e le rassicurazioni fornite dallo sviluppatore sono coerenti con quanto riportato nel report. In questa fase, dunque, il rischio per gli utenti Android sembra contenuto, anche se le capacità dimostrate dal malware restano un campanello d’allarme.
Implicazioni per sicurezza e prevenzione
L’emergere della malware Android AI generativa richiede un ripensamento delle strategie di sicurezza. Gli utenti devono prestare attenzione all’installazione di applicazioni e aggiornamenti, preferendo fonti verificate. I produttori di antivirus, dal canto loro, sono chiamati a integrare strumenti di analisi dinamica capaci di rilevare comportamenti adattivi e cambiamenti in tempo reale.
La sfida principale resta la rapidità con cui questi malware possono modificare la loro struttura e modalità operative, rendendo il confine tra software malevolo e intelligenza artificiale sempre più labile. È fondamentale che il settore sviluppi sinergie tra esperti di cybersecurity e sviluppatori di AI per contrastare minacce in continua evoluzione.
Cosa fare subito: takeaway operativo
L’adozione di malware che sfrutta l’AI generativa impone all’utente una vigilanza costante. Aggiornare regolarmente il sistema operativo, evitare app non verificate e monitorare gli update di sicurezza sono gesti imprescindibili. Le aziende, inoltre, devono rafforzare le policy interne, formare il personale e adottare sistemi di rilevamento avanzati per proteggersi da minacce che evolvono rapidamente e in modo imprevedibile.
