PromptSpy: troyano bancario con IA que bloquea Android

PromptSpy: El troyano bancario que usa IA para no dejarse borrar | Ciberseguridad Directa

PromptSpy: El primer malware Android que usa IA para no dejarte desinstalarlo

Por Juan Marañón – Divulgador autodidacta en Seguridad Digital Familiar

Imaginá esto: instalás una app que parece una actualización bancaria legítima ("MorganArg"), le das permisos y después… no podés desinstalarla. Cada vez que intentás ir a Ajustes, la pantalla se cierra o aparece un bloqueo invisible. Eso es exactamente lo que hace PromptSpy, un troyano bancario que ya circula en Argentina.

💡 El peligro de la IA Generativa: Según el análisis técnico de ESET, el malware integraría el modelo Gemini de Google mediante API para interpretar la interfaz de tu celular en tiempo real.
Análisis técnico: Lo innovador no es solo el robo de datos, sino que la IA permite al malware adaptarse dinámicamente a distintas versiones y marcas de Android. Ya no depende de coordenadas fijas para bloquear botones; ahora "entiende" qué estás queriendo hacer y se interpone en tu camino.

¿Cómo llega a tu celular?

El engaño apunta a usuarios que buscan soluciones rápidas fuera de las tiendas oficiales:

  • Llega por sitios falsos que imitan bancos (ejemplo: mgardownload.com).
  • Te pide descargar un archivo APK ("instalador manual").
  • Solicita el permiso de Accesibilidad, la "llave maestra" que le permite a la IA ver y tocar tu pantalla por vos.

🛠️ Cómo eliminarlo: El truco del "Modo Seguro"

Si el malware bloquea tus dedos en modo normal, tenés que ganarle por el sistema:

  1. Mantené presionado el botón de encendido de tu celular.
  2. Mantené presionada la opción "Apagar" en pantalla hasta que aparezca "Reiniciar en Modo Seguro".
  3. En este modo, las apps maliciosas se desactivan. Ahora sí, andá a Ajustes > Aplicaciones y buscá "MorganArg" para desinstalarla definitivamente.

Acciones de prevención inmediata

  • Cero APKs: Nunca instales nada que venga de un link de WhatsApp o SMS, aunque juren que es de tu banco.
  • Revisá Google Play Protect: Asegurate de que esté activo en el menú de tu Play Store.
  • Ojo a la Accesibilidad: Si una app nueva te pide este permiso sin una razón clara (como ser un lector para no videntes), es un virus.

Conclusión

PromptSpy marca un antes y un después: el malware ahora "razona" gracias a la IA. Pero la defensa sigue siendo humana: desconfiar de lo que brilla fuera de las tiendas oficiales es tu mejor antivirus.

Fuente: Investigación de ESET Research (Febrero 2026)

Ciberseguridad Directa — Pequeñas acciones para una vida digital más segura.

Comentarios

Publicar un comentario

💬 Comentá con respeto.
No publiques datos personales ni enlaces promocionales.
Los mensajes se moderan antes de publicarse.

Entradas populares de este blog

Guía completa sobre grooming

Imagen
Grooming: guía completa para padres y para que tu hijo la lea Qué vas a encontrar: definición clara, tipos de grooming, señales para detectar, pasos concretos para actuar como padre/madre o tutor, recomendaciones directas para que los menores comprendan y una lista de dónde denunciar por país. ¿Qué es el grooming? El grooming es el proceso mediante el cual un adulto se gana la confianza de una niña, niño o adolescente con el objetivo de abusar sexualmente, explotarlo o inducirlo a producir y compartir imágenes o videos de contenido sexual. Suele comenzar con un acercamiento en redes sociales, juegos, apps o chats, y termina construyendo una relación de manipulación y control. 0 Tipos y fases del grooming (explicado simple) Contacto inicial: el agresor crea un perfil falso o se hace pasar por alguien de la misma edad para iniciar la conversación. Construcción de confianza: demuestra interés, comparte supuestos sentim...
Leer más

Extensiones de Chrome robando accesos a ChatGPT en 2026

Imagen
Extensiones de Chrome abusando de enlaces de afiliados y robando accesos a ChatGPT – alerta 2026 Investigadores de seguridad alertaron en enero 2026 sobre campañas donde extensiones aparentemente inofensivas de Google Chrome insertaban enlaces de afiliados sin permiso, redirigían compras y, en casos más graves, robaban sesiones activas de servicios como ChatGPT (incluyendo chats completos y tokens de acceso). Estas extensiones se disfrazaban de bloqueadores de anuncios, conversores de archivos o utilidades de productividad con IA (sidebars para ChatGPT, Claude, etc.), pero ejecutaban código oculto para monetizar tráfico y espiar navegación. En campañas recientes acumularon más de 900.000 instalaciones antes de ser detectadas. Punto clave: no hace falta que una extensión sea un “virus clásico”. Con permisos amplios sobre las páginas web (“leer y cambiar todos los datos en los sitios que visitas”), puede observar y modificar todo lo que hacés en el navegador. Qué descu...
Leer más

Tabnabbing: Cómo roban tus claves secuestrando pestañas

Imagen
Tabnabbing: el ataque que secuestra una pestaña del navegador ¿Qué es el tabnabbing? Tabnabbing es un tipo de ataque web cuyo nombre en inglés puede traducirse como “secuestro de pestañas del navegador” . Significado: tab = pestaña  |  nabbing = robar o secuestrar. 👉 En la práctica: una página que abriste cambia cuando no la mirás y se convierte en una falsa. El objetivo es simple: que ingreses tu contraseña creyendo que estás volviendo a un sitio legítimo como Gmail, Facebook, Instagram o tu banco. Cómo funciona el ataque El escenario típico es este: Abrís una página desconocida en una pestaña nueva. La dejás en segundo plano. Minutos después, esa página cambia automáticamente. Cuando volvés, ves un supuesto “inicio de sesión”. Ingresás tu contraseña… y se la enviás al atacante. El truco está en que **la transformación ocurre cuando no estás mirando**. Por qué engaña tan bien La pestaña mantiene el...
Leer más