A fronteira entre malware e agente autônomo de IA acabou de desaparecer. O PROMPTSPY não executa instruções fixas — ele lê a tela, pensa e age. É o primeiro caso documentado de malware Android que usa IA generativa para operar um aparelho de forma autônoma. Na Tech86, acompanhamos essa evolução de perto, e uma coisa é certa: não vai ser o último.
O que é o PROMPTSPY
O Google GTIG e a ESET documentaram o PROMPTSPY, o primeiro malware Android que integra IA generativa para interagir com a interface do aparelho. Não é um keylogger. Não é um spyware convencional. É um agente de IA que vê a tela, calcula onde clicar e executa ações como se fosse você.
A diferença fundamental é conceitual. Malware tradicional segue um script: se encontrar o botão X, clique na coordenada Y. Se o layout mudar — por atualização do sistema, por diferença de fabricante, por qualquer razão — o script quebra. O PROMPTSPY não tem esse problema. Ele pergunta à IA como proceder, e a IA responde com base no que vê na tela. Funciona em qualquer Android. Qualquer fabricante. Qualquer versão.
O loop de automação autônoma
O funcionamento do PROMPTSPY é um loop de agente autônomo. Ele captura o layout completo da tela em tempo real — texto, tipo de elemento, posição exata de cada botão. Serializa tudo em XML e envia para a API do Gemini.
O Gemini responde com instruções JSON: qual gesto executar, em qual coordenada, com qual duração. O malware executa via Accessibility Service. Captura o novo estado da tela. Envia de volta. O ciclo se repete até a ação ser concluída.
O GTIG documentou um módulo chamado GeminiAutomationAgent — um prompt que atribui ao Gemini a persona de "assistente de automação Android". O objetivo declarado: calcular a geometria da interface para interações autônomas com o dispositivo. O malware mantém histórico de prompts e respostas, permitindo que o Gemini entenda contexto e coordene interações de múltiplos passos. Isso não é automação. É raciocínio.
O que ele faz no seu celular
As capacidades do PROMPTSPY vão muito além de capturar dados. Ele opera o aparelho. Um VNC embutido dá acesso remoto completo ao atacante em tempo real — seu celular vira um fantoche controlado de fora.
Ele captura PIN e senha de desbloqueio. Grava o padrão de desbloqueio em vídeo. Tira screenshots sob comando. Lista os apps instalados. Monitora qual app está em primeiro plano. A chave de API do Gemini é obtida do servidor de C2 — não está hardcoded no malware. Isso significa que o atacante pode rotacionar chaves sem precisar redeployar o malware. Se uma chave é revogada, ele simplesmente usa outra.
A arquitetura é modular e resiliente. O atacante controla o comportamento do malware remotamente, alterando os prompts enviados ao Gemini. Não é uma campanha fixa — é uma plataforma adaptativa.
A persistência que muda o jogo
O mecanismo de persistência do PROMPTSPY é onde a IA generativa faz a diferença mais brutal. O malware usa o Gemini para fixar o app na lista de recentes do Android. Em cada fabricante, o gesto é diferente: long press, swipe up, ícone de cadeado. Hardcoded não funciona em todos os dispositivos. IA generativa funciona.
O Gemini analisa o layout específico do seu aparelho e devolve as coordenadas exatas do gesto necessário. Samsung, Xiaomi, Motorola, Pixel — não importa. O PROMPTSPY se adapta a todos.
E se você tenta desinstalar? O malware renderiza overlays invisíveis sobre os botões "Desinstalar" e "Forçar parada". Seu toque é interceptado pelo overlay. Nada acontece. Você toca, nada muda. A única saída é reiniciar em Modo de Segurança — algo que a maioria dos usuários não sabe fazer.
Por que defesas tradicionais falham
Antivírus baseados em assinatura não detectam o PROMPTSPY porque ele não tem assinatura fixa. O comportamento muda conforme o dispositivo, conforme o prompt, conforme o objetivo do atacante. EDRs que monitoram apenas indicadores de comprometimento conhecidos também ficam cegos — não há IoC estável para buscar.
O problema é estrutural. A indústria de segurança construiu defesas para malware que segue scripts. O PROMPTSPY raciocina. Ele se corrige se o resultado não for o esperado. Ele adapta o ataque ao contexto. Isso é qualitativamente diferente de qualquer ameaça que enfrentamos antes.
Na Tech86, vimos essa evolução chegando. Implementamos monitoramento de comportamento anômalo em endpoints e defesa autônoma contra ameaças que usam IA. Não porque é tendência — porque o adversário do futuro não segue scripts. Ele raciociona. E nossas defesas precisam raciocinar também.
O que vem depois do PROMPTSPY
O PROMPTSPY é o primeiro caso documentado. Não vai ser o último. A arquitetura — capturar tela, enviar para LLM, executar resposta — é replicável com qualquer modelo de IA generativa. Não depende do Gemini especificamente. Qualquer API de inferência serve.
O que nos preocupa na Tech86 não é o PROMPTSPY em si. É o que ele representa: a democratização do malware adaptativo. Até agora, criar malware que funcionasse em múltiplos dispositivos exigia conhecimento profundo de cada fabricante. Agora, basta um prompt bem escrito e uma chave de API.
A defesa precisa evoluir na mesma velocidade. Monitoramento comportamental em tempo real. Detecção de anomalias baseada em IA. Resposta autônoma a incidentes. Não basta saber o que o malware faz — precisamos entender o que ele está tentando fazer, mesmo que o método nunca tenha sido visto antes.
Se sua empresa opera dispositivos Android sem proteção comportamental, está exposta. O PROMPTSPY provou que a ameaça não é teórica. É operacional. E está se adaptando mais rápido do que as defesas tradicionais.