Um novo malware está usando o Gemini, modelo de Inteligência Artificial da Google, como parte do seu funcionamento. O PromptSpy, identificado em fevereiro de 2026 pelos pesquisadores da empresa de cibersegurança ESET, se disfarça de aplicativo bancário para chegar até às vítimas.
É a primeira vez que um malware para Android integra IA generativa em seu fluxo de execução.
Como funciona
O malware se passa pelo aplicativo do Chase Bank, imitando a JPMorgan Chase, uma das maiores instituições financeiras do mundo, e é distribuído fora da Google Play Store por meio de um site dedicado.
A infecção acontece em duas etapas: primeiro, a vítima instala um app chamado MorganArg que funciona apenas como porta de entrada, exibindo uma mensagem pedindo a instalação de uma suposta atualização. Essa atualização é, na verdade, o PromptSpy.
Os pesquisadores identificaram ainda um terceiro aplicativo, assinado pelo mesmo desenvolvedor e usando o mesmo site falso, que provavelmente serve como estágio inicial da cadeia de infecção, conduzindo a vítima em direção ao MorganArg.
Após a instalação, o PromptSpy solicita acesso ao Serviço de Acessibilidade do Android, um recurso legítimo do sistema criado para auxiliar pessoas com deficiência. Com essa permissão concedida, o malware exibe uma tela de carregamento falsa para distrair a vítima enquanto opera em segundo plano.
Recursos de acessibilidade viram arma
O objetivo inicial é garantir sua própria persistência, travando o aplicativo na lista de apps recentes do Android para impedir que o sistema ou a vítima o encerre. O problema que o PromptSpy precisava resolver é que esse gesto varia entre fabricantes e versões do sistema, o que torna inviável o uso de instruções fixas no código.
A solução adotada pelos desenvolvedores foi usar o Serviço de Acessibilidade para capturar um dump XML da interface atual, uma descrição textual detalhada de todos os elementos visíveis na tela, incluindo posições, tipos de componentes e textos, e envia esse dado ao Gemini junto com um prompt em linguagem natural.
O Gemini responde com instruções em formato JSON indicando qual ação executar e em quais coordenadas. O malware executa a ação, captura o novo estado da tela e repete o ciclo até que o Gemini confirme que o objetivo foi concluído.
Essa abordagem elimina a dependência de instruções fixas e permite que o malware se adapte a qualquer dispositivo, layout ou versão do Android, ampliando significativamente o número de vítimas em potencial.
Capacidades de espionagem e controle remoto
A persistência garantida pela IA é apenas a preparação para a funcionalidade principal do PromptSpy: um módulo VNC embutido, tecnologia que permite acesso e controle remoto completo do dispositivo. O malware se comunica com um servidor de Comando e Controle no endereço 54.67.2[.]84 via protocolo VNC com criptografia AES.
Por meio dessa conexão, os atacantes conseguem visualizar a tela da vítima em tempo real e operar o dispositivo remotamente, além de capturar o PIN ou senha da tela de bloqueio, gravar em vídeo o padrão de desbloqueio, registrar o uso de aplicativos específicos, listar os aplicativos instalados e tirar screenshots sob demanda.
Mecanismo anti-remoção
Quando a vítima tenta desinstalar o aplicativo ou revogar as permissões de acessibilidade, o PromptSpy sobrepõe retângulos completamente transparentes e invisíveis sobre botões críticos da interface — como “Desinstalar”, “Parar” e “Remover”.
Esses elementos interceptam os toques antes que cheguem aos botões reais, tornando a remoção inviável pelo método convencional. A única saída é reiniciar o dispositivo no Modo Seguro, que desativa aplicativos de terceiros e permite a remoção sem interferência.
Origem e alvos
Evidências encontradas no código — incluindo strings de debug em chinês simplificado e tratamento de eventos de acessibilidade com nomenclatura em chinês — indicam, com média confiança segundo os pesquisadores, que o PromptSpy foi desenvolvido em um ambiente de língua chinesa.
A campanha, no entanto, é direcionada à Argentina. O site falso estava em espanhol, o nome do aplicativo faz referência ao país e a motivação parece ser financeira, visando dados bancários das vítimas.
E agora?
Até o momento da publicação do relatório, nenhuma infecção pelo PromptSpy havia sido detectada na telemetria da ESET, o que levanta a possibilidade de que o malware ainda esteja em fase de prova de conceito.
Ainda assim, os pesquisadores não descartam a existência de versões circulando no mundo real, dado que toda uma infraestrutura de distribuição foi montada ao redor da ameaça.
A ESET compartilhou suas descobertas com o Google como parte da App Defense Alliance, e o Google Play Protect foi atualizado para identificar as versões conhecidas do PromptSpy.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.