Un nuovo malware Android sta cambiando le regole del gioco. Si chiama PromptSpy e, secondo quanto rivelato nelle ultime ore da ESET Research, è il primo software malevolo noto a utilizzare un modello di intelligenza artificiale generativa durante l’esecuzione per controllare il proprio comportamento.
Non si limita a spiare: analizza lo schermo, prende decisioni e si protegge dalla rimozione.
Cosa è successo davvero
A individuare la minaccia è stata ESET Research, che ha descritto PromptSpy come un malware Android capace di utilizzare Gemini per interpretare ciò che accade sullo schermo del dispositivo infetto.
Il meccanismo è nuovo e preoccupante.
Il malware osserva l’interfaccia del telefono — app aperte, notifiche, menu di sistema — e invia queste informazioni a Gemini. L’intelligenza artificiale analizza il contesto e restituisce istruzioni operative. In pratica, l’IA diventa il “cervello” che guida le azioni del malware in tempo reale.
L’obiettivo principale? Garantire accesso persistente.
PromptSpy tenta di aggiungersi all’elenco delle app recenti, spesso contrassegnate da un’icona a forma di lucchetto. Questa funzione impedisce al sistema di chiudere automaticamente l’app e rende più difficile per l’utente eliminarla manualmente.
Non è solo un’infezione. È un malware che impara come restare nascosto.
Perché questa notizia è importante proprio ora
Negli ultimi anni abbiamo visto l’intelligenza artificiale entrare in ogni settore: produttività, motori di ricerca, assistenti vocali. Ora, però, l’IA viene sfruttata direttamente durante l’esecuzione di un attacco informatico su smartphone.
È un salto qualitativo.
Finora i malware Android seguivano script predefiniti: istruzioni rigide, comportamenti programmati. PromptSpy invece utilizza un modello generativo per adattarsi al contesto.
Questo significa che può:
- Comprendere ciò che l’utente sta facendo
- Modificare le proprie azioni in base alla situazione
- Ridurre il rischio di essere individuato
In altre parole, non è solo codice statico. È un attacco dinamico.
In un momento in cui milioni di persone utilizzano Android per pagamenti, lavoro e accesso ai servizi pubblici, la prospettiva di malware “assistiti dall’IA” apre scenari completamente nuovi per la sicurezza mobile.
Cosa cambia per gli utenti Android
Per chi usa uno smartphone Android, la notizia non significa panico immediato. Ma richiede maggiore attenzione.
Il punto critico è la persistenza.
Molti utenti credono che chiudere un’app o riavviare il telefono sia sufficiente per eliminare comportamenti sospetti. In questo caso, invece, il malware lavora per rendersi “non chiudibile”, sfruttando funzioni legittime del sistema operativo.
Questo rende più difficile:
- Individuare l’app malevola
- Interrompere la sua attività
- Rimuoverla senza strumenti di sicurezza avanzati
Inoltre, l’uso dell’IA potrebbe consentire al malware di reagire in modo diverso a seconda del modello di smartphone o delle impostazioni dell’utente.
Un dettaglio non secondario: se questa tecnica dovesse diffondersi, potremmo assistere a una nuova generazione di minacce mobili molto più autonome rispetto al passato.
Un precedente che può cambiare la cybersecurity mobile
La vera svolta non è solo tecnica, ma concettuale.
PromptSpy è il primo caso documentato di malware Android che utilizza un modello di intelligenza artificiale generativa durante l’esecuzione. Non per scrivere codice, non per preparare un attacco, ma per prendere decisioni operative in tempo reale.
Questo crea un precedente.
Gli esperti di sicurezza dovranno ora confrontarsi con minacce che:
- Non seguono pattern rigidi
- Possono adattarsi a nuove interfacce
- Potrebbero evolvere senza aggiornamenti tradizionali
In prospettiva, l’uso dell’IA nei malware potrebbe rendere più complessa l’analisi comportamentale, oggi uno dei principali strumenti di difesa contro le minacce sconosciute.
Cosa potrebbe succedere nei prossimi mesi
È probabile che la scoperta di PromptSpy spinga Google e i produttori Android a rafforzare i controlli sulle app in background e sull’uso improprio delle funzioni di sistema.
Potremmo vedere:
- Maggiori restrizioni sull’accesso alle API di sistema
- Nuovi meccanismi di verifica comportamentale
- Aggiornamenti di sicurezza mirati
Nel frattempo, gli esperti consigliano di installare applicazioni solo da fonti ufficiali, mantenere il sistema aggiornato e utilizzare soluzioni di sicurezza affidabili.
La partita tra IA e cybersecurity è appena entrata in una nuova fase. E questa volta, l’intelligenza artificiale non è solo uno strumento di difesa: è parte dell’attacco.
Una minaccia da monitorare
Nelle prossime settimane potrebbero emergere ulteriori dettagli tecnici su PromptSpy e sulle modalità di diffusione. Per ora, il dato più significativo è questo: l’era dei malware “assistiti dall’IA” non è più teoria.
È realtà.
E se oggi si tratta di un caso isolato, domani potrebbe diventare la nuova normalità nel panorama della sicurezza mobile.
Giornalista e analista, scrive di economia italiana, innovazione e imprese. Appassionato di tecnologia e finanza, racconta il presente e il futuro delle aziende che fanno muovere il Paese.
