A amostra combina serviços de acessibilidade, instruções geradas por IA e módulo VNC para dificultar remoção, capturar tela e viabilizar acesso remoto ao dispositivo infectado.
| Componente | Malware Android PromptSpy, com uso de Gemini, serviços de acessibilidade e módulo VNC integrado. |
| Vetor | Distribuição fora do Google Play por site dedicado, com dropper que se apresenta como MorganArg, solicita instalação de aplicativos de fontes desconhecidas e entrega um APK apresentado em espanhol como atualização. |
| Impacto | Persistência na lista de aplicativos recentes, bloqueio de desinstalação, captura de tela, gravação de tela, coleta de informações do dispositivo, interceptação de PIN ou senha de bloqueio e acesso remoto via VNC. |
| Prioridade | Bloquear instalação por fontes desconhecidas, revisar permissões de acessibilidade, procurar APKs associados à campanha e remover infecções em Modo de Segurança quando a desinstalação normal for impedida. |
| Artefatos | Infraestrutura observada inclui mgardownload[.]com, m-mgarg[.]com e servidor C2 defangado 54.67.2[.]84. |
| Mitigação | Google Play Protect informa proteção automática contra versões conhecidas, inclusive para aplicativos obtidos fora da Play Store, em dispositivos com Google Play Services. |
O PromptSpy é um malware para Android que incorpora o Gemini ao fluxo de execução para automatizar uma técnica de persistência baseada na interface do sistema. Em vez de depender apenas de coordenadas fixas ou caminhos rígidos de navegação, a amostra envia uma representação estruturada da tela atual para o modelo de IA e recebe instruções em JSON sobre qual ação deve realizar, como toques em elementos específicos. Esse mecanismo é usado para manter o aplicativo malicioso preso à lista de aplicativos recentes, reduzindo a chance de o usuário encerrá-lo por gestos comuns ou de o sistema eliminá-lo facilmente.
A amostra combina essa automação com abuso de serviços de acessibilidade, sobreposições invisíveis e um módulo VNC embutido. O objetivo operacional é manter controle remoto sobre o aparelho infectado, capturar informações sensíveis da tela e dificultar a remoção. Entre as capacidades relatadas estão coleta de dados do dispositivo, screenshots sob demanda, gravação da tela, captura do padrão de desbloqueio em vídeo e interceptação de PIN ou senha da tela de bloqueio. O uso de IA generativa nesse ponto do fluxo aumenta a adaptabilidade do malware a layouts, tamanhos de tela e versões de Android diferentes, porque a decisão de interação passa a ser tomada a partir do estado real da interface.
O fluxo começa com um site dedicado que entrega um dropper. Esse primeiro aplicativo se apresenta como MorganArg, uma referência a Morgan Argentina, e imita a marca JPMorgan Chase. Após instalado e aberto, o dropper carrega uma página em outro domínio e instrui a vítima, em espanhol, a permitir instalação de aplicativos de fontes desconhecidas. Em segundo plano, o Trojan tenta obter uma configuração de seu servidor, incluindo um link para baixar outro APK apresentado como atualização. Durante a análise, o servidor de configuração já não estava acessível, portanto o endereço exato do APK final não ficou disponível no contexto técnico.
Na fase de persistência, o malware usa um modelo de IA e um texto de controle incorporados ao seu código, atribuindo ao agente a função de assistente de automação Android. O aplicativo gera um dump XML da tela atual, contendo textos visíveis, tipos de elementos e posições exatas na tela. Esse material é enviado ao Gemini, que responde com uma sequência de ações em formato JSON. As ações sugeridas são então executadas pelos serviços de acessibilidade do Android, sem interação direta do usuário. O ciclo se repete em múltiplas etapas até que o aplicativo consiga permanecer fixado na lista de aplicativos recentes.
A persistência não depende apenas da IA. O PromptSpy também usa sobreposições invisíveis para interferir em tentativas de desinstalação. Como essas ações passam pelos serviços de acessibilidade, o malware consegue interagir com a interface e bloquear fluxos esperados de remoção. O módulo VNC integrado se comunica com um servidor C2 codificado no binário por meio do protocolo VNC, permitindo acesso remoto ao aparelho. O C2 também participa do recebimento da chave de API do Gemini e de operações como captura de tela e gravação.
A campanha observada não usa o Google Play como canal de distribuição. O risco se concentra em dispositivos Android nos quais o usuário pode instalar APKs de fora da loja oficial e conceder permissões sensíveis a aplicativos não confiáveis. A necessidade de habilitar instalação por fontes desconhecidas é uma pré-condição importante, assim como a concessão de serviços de acessibilidade, que fornece ao malware meios para operar sobre a interface, executar toques e manipular telas sem ação manual contínua da vítima.
A análise de idioma e distribuição sugere foco em usuários da Argentina e motivação financeira. Ao mesmo tempo, strings de depuração em chinês simplificado indicam que o desenvolvimento ocorreu em ambiente de língua chinesa. Esse conjunto não deve ser tratado como atribuição completa de operador, mas ajuda a orientar triagens por idioma, isca e telemetria regional. O PromptSpy também é descrito como uma evolução de outro malware Android previamente desconhecido, chamado VNCSpy, cujas amostras foram enviadas ao VirusTotal no mês anterior à publicação a partir de Hong Kong.
- Dispositivos Android com instalação de APKs externos habilitada ficam no escopo de risco observado.
- Usuários que concedem serviços de acessibilidade ao aplicativo malicioso expõem a interface a automação não autorizada.
- A campanha usa páginas e mensagens em espanhol, com disfarce bancário voltado ao contexto argentino.
- A infraestrutura citada inclui
mgardownload[.]com,m-mgarg[.]come54.67.2[.]84como C2 defangado.
A caça deve priorizar eventos de instalação de APK fora da loja oficial, concessões recentes de acessibilidade e aplicativos que passam a se manter de forma anormal na lista de recentes. Em ambientes corporativos com MDM, vale correlacionar permissões de acessibilidade com origem do pacote, nome exibido, horário de instalação e alterações em políticas que permitam fontes desconhecidas. A presença de um aplicativo com branding MorganArg, fluxos em espanhol solicitando atualização e navegação para os domínios defangados deve ser tratada como sinal de comprometimento ou exposição.
Na rede, a comunicação VNC para o C2 defangado 54.67.2[.]84 é um indicador de alta fidelidade quando presente. Como a amostra também depende de uma chave de API recebida do C2 para interagir com o Gemini, conexões incomuns de um aplicativo Android recém-instalado para infraestrutura externa, seguidas por atividade de acessibilidade e captura de tela, formam uma sequência relevante para investigação. Em endpoint móvel, sinais de gravação de tela, screenshots em momentos não iniciados pelo usuário e tentativas falhas de desinstalação devem ser preservados em evidência antes de qualquer limpeza.
A telemetria deve separar o abuso da IA do restante da cadeia. O ponto crítico não é o usuário conversar com um chatbot, mas o malware transformar o estado da interface em dados estruturados, enviar essa representação ao modelo e executar instruções retornadas por meio de acessibilidade. Essa distinção ajuda equipes de defesa a procurar padrões de automação, permissões e C2, em vez de tratar o uso de IA como um indicador isolado.
- Instalação de APK externo após navegação para domínio com tema MorganArg ou atualização em espanhol.
- Concessão de serviços de acessibilidade a aplicativo recém-instalado e fora de loja oficial.
- Persistência anormal do aplicativo na lista de recentes, com dificuldade de encerramento manual.
- Tráfego VNC para
54.67.2[.]84ou comunicação com infraestrutura ligada aos domínios defangados citados. - Eventos de captura de tela, gravação de tela ou coleta de tela de bloqueio sem ação legítima do usuário.
A resposta deve começar pela contenção do canal de instalação. Organizações que gerenciam aparelhos Android devem bloquear instalação por fontes desconhecidas sempre que possível, restringir permissões de acessibilidade a aplicativos aprovados e monitorar mudanças nessas permissões. Usuários finais devem evitar APKs oferecidos por páginas de atualização fora da loja oficial, especialmente quando o aplicativo usa identidade visual bancária e solicita permissões que não combinam com a função declarada.
Quando a infecção impede a remoção pelo fluxo normal, a alternativa indicada é reiniciar o aparelho em Modo de Segurança, ambiente no qual aplicativos de terceiros ficam desativados e podem ser desinstalados. Após a remoção, a investigação deve revisar permissões concedidas, verificar se houve captura de tela de bloqueio, trocar credenciais potencialmente expostas e inspecionar contas acessadas no período. Como há capacidade de acesso remoto via VNC e captura de credenciais da tela de bloqueio, a resposta não deve se limitar à exclusão do APK.
Em aparelhos com Google Play Services, o Play Protect informa proteção contra versões conhecidas desse malware, inclusive quando o aplicativo vem de fora da Play Store. Essa camada reduz risco para variantes conhecidas, mas não substitui controles de instalação, inventário de aplicativos, bloqueio de acessibilidade indevida e resposta a indicadores de rede. A campanha mostra que a combinação de IA generativa com abuso de interface pode tornar malware Android menos dependente de layouts específicos, o que exige detecção baseada em comportamento e permissões, não apenas em nomes de pacote ou telas estáticas.
- Desabilitar ou restringir instalação de aplicativos de fontes desconhecidas em dispositivos gerenciados.
- Auditar permissões de acessibilidade e remover concessões para aplicativos sem justificativa operacional.
- Usar Modo de Segurança para remover o aplicativo quando sobreposições impedirem a desinstalação normal.
- Bloquear e investigar comunicação com
mgardownload[.]com,m-mgarg[.]come54.67.2[.]84em formato defangado. - Trocar PIN, senha e credenciais usadas no aparelho após suspeita de captura de tela de bloqueio ou acesso remoto.
0 Comentários