Cómo eliminar PromptSpy de los dispositivos infectados
TroyanoConocido también como: El malware para Android PromptSpy
Obtenga un escaneo gratuito y verifique si su computadora está infectada.
ELIMÍNELO AHORAPara usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. 7 días de prueba gratuita limitada disponible. Combo Cleaner es propiedad y está operado por RCS LT, la empresa matriz de PCRisk.
¿Qué tipo de malware es PromptSpy?
PromptSpy es un malware para Android que utiliza inteligencia artificial generativa para garantizar su persistencia. Recurre a Google Gemini para analizar lo que aparece en la pantalla del dispositivo infectado y determinar cómo mantenerse activo en la lista de aplicaciones recientes. Esto permite que el malware siga ejecutándose en segundo plano. Su objetivo principal es instalar un cliente VNC que permita a los atacantes ver la pantalla y controlar el dispositivo de forma remota.
PromptSpy en detalle
PromptSpy incluye un dropper y una carga útil que hace un uso indebido de Google Gemini. Utiliza Google Gemini para interactuar con la pantalla del teléfono. En lugar de emplear scripts fijos que podrían fallar en distintos dispositivos, envía a Gemini información sobre lo que se muestra en ese momento en la pantalla. Gemini analiza los elementos de la pantalla y devuelve instrucciones sobre dónde tocar o qué acción realizar. Esto ayuda al malware a mantenerse activo, ya que permanece en la lista de aplicaciones recientes incluso si el usuario intenta cerrarlo.
Además, PromptSpy incluye una herramienta VNC que permite a los atacantes controlar totalmente de forma remota un teléfono infectado una vez que la víctima activa los servicios de accesibilidad. Esto permite a los atacantes ver la pantalla y realizar acciones como pulsaciones, deslizamientos, gestos y escribir.
PromptSpy utiliza inteligencia artificial para mantener su aplicación fijada en la lista de aplicaciones recientes. Esto ayuda al malware a seguir ejecutándose en segundo plano, de modo que no se pueda cerrar fácilmente. Es probable que esta función se utilice antes de que los ciberdelincuentes inicien la sesión de control remoto. De esta forma, la aplicación permanece activa y es menos probable que el sistema o la víctima la detengan.
Además, PromptSpy hace un uso indebido de los Servicios de accesibilidad para impedir que los usuarios lo eliminen. Cuando la víctima intenta desinstalar la aplicación o desactivar los Servicios de accesibilidad, el malware muestra cuadros invisibles sobre botones como «Detener», «Borrar» o «Desinstalar». Estas capas ocultas bloquean los toques de la víctima, impidiendo que se pulsen los botones.
Una vez que el malware se conecta a un servidor remoto de comando y control, puede recibir instrucciones que le permiten recopilar información, como las aplicaciones instaladas y activas, realizar capturas de pantalla, grabar la pantalla y recopilar datos de la pantalla de bloqueo. También puede grabar el patrón de desbloqueo y detectar si la pantalla está encendida.
| Nombre | El malware para Android PromptSpy |
| Tipo de amenaza | Malware para Android, aplicación maliciosa |
| Nombres de detección | Avast (Android:PromptSpy-A [Spy]), Combo Cleaner (Android.Riskware.Agent.aYXH), ESET-NOD32 (Android/Spy.PromptSpy.A Trojan), Kaspersky (HEUR:Backdoor.AndroidOS.Agent.ii), Lista completa (VirusTotal) |
| Síntomas | El dispositivo funciona con lentitud, se modifican los ajustes del sistema sin el permiso del usuario, aparecen aplicaciones sospechosas, el consumo de datos y batería aumenta considerablemente, los navegadores redirigen a sitios web sospechosos y se muestran anuncios intrusivos. |
| Métodos de distribución | Sitios web bancarios falsos y aplicaciones bancarias fraudulentas |
| Daños | Robo de datos personales, disminución del rendimiento del dispositivo, agotamiento rápido de la batería, reducción de la velocidad de Internet, pérdidas masivas de datos, pérdidas económicas, suplantación de identidad. |
| Eliminación de Malware |
Para eliminar posibles infecciones de malware, escanee su computadora con un software antivirus legítimo. Nuestros investigadores de seguridad recomiendan usar Combo Cleaner. Descargue Combo Cleaner para WindowsEl detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. 7 días de prueba gratuita limitada disponible. Combo Cleaner es propiedad y está operado por RCS LT, la empresa matriz de PCRisk. |
Conclusión
PromptSpy es un ejemplo de cómo los ciberdelincuentes han empezado a utilizar herramientas de IA, como Google Gemini, para hacer que el malware sea más potente y difícil de detener. Al combinar la interacción con la pantalla asistida por IA con funciones de control remoto, los autores de las amenazas pueden mantener el malware activo y gestionar los dispositivos infectados con mayor facilidad.
Otros ejemplos de malware dirigido a dispositivos Android son Oblivion RAT, ZeroDayRAT y Arsink.
¿Cómo se ha infiltrado PromptSpy en mi dispositivo?
Los ciberdelincuentes distribuyen PromptSpy a través de sitios web maliciosos que imitan a sitios bancarios legítimos. Estas páginas utilizan la imagen de marca y el texto de los bancos para que parezcan legítimas. Estos sitios alojan aplicaciones maliciosas para Android que se hacen pasar por aplicaciones bancarias oficiales. Cuando una víctima instala una de ellas, la aplicación actúa como un «dropper» para instalar el malware.
Se solicita a la víctima que permita la instalación desde fuentes desconocidas, algo que Android suele bloquear por motivos de seguridad. Una vez concedido el permiso, el dropper se conecta a un servidor remoto y recupera un archivo de configuración que contiene un enlace para descargar la carga útil de PromptSpy.
La carga útil se descarga como otro archivo APK y se presenta como una actualización falsa. Una vez instalada, solicita permisos para los servicios de accesibilidad e instala sus componentes maliciosos, incluido el módulo VNC de control remoto.
¿Cómo evitar la instalación de malware?
Asegúrate de mantener actualizados tu sistema operativo y tus aplicaciones, y descarga software únicamente de sitios web oficiales o tiendas de aplicaciones de confianza. Evita hacer clic en anuncios sospechosos, ventanas emergentes o enlaces de sitios dudosos, y rechaza las solicitudes de notificaciones de dichos sitios.
Ten cuidado con los correos electrónicos o mensajes inesperados: evita abrir los enlaces o archivos adjuntos que contengan, a menos que estés seguro de que no son maliciosos. Utiliza un software de seguridad de confianza para realizar análisis periódicos que puedan detectar y eliminar posibles amenazas.
PromptSpy pide a la víctima que active los servicios de accesibilidad (fuente: welivesecurity.com):
Menú rápido:
- Introducción
- ¿Cómo borrar el historial de navegación del navegador Chrome?
- ¿Cómo desactivar las notificaciones del navegador Chrome?
- ¿Cómo restablecer el navegador web Chrome?
- ¿Cómo borrar el historial de navegación del navegador web Firefox?
- ¿Cómo desactivar las notificaciones del navegador en Firefox?
- ¿Cómo restablecer el navegador web Firefox?
- ¿Cómo desinstalar aplicaciones potencialmente no deseadas o maliciosas?
- ¿Cómo iniciar el dispositivo Android en «modo seguro»?
- ¿Cómo comprobar el consumo de batería de las distintas aplicaciones?
- ¿Cómo consultar el consumo de datos de las distintas aplicaciones?
- ¿Cómo instalar las últimas actualizaciones de software?
- ¿Cómo restablecer el sistema a su configuración predeterminada?
- ¿Cómo desactivar las aplicaciones que tienen privilegios de administrador?
Borrar el historial de navegación del navegador Chrome:
Pulsa el botón «Menú» (los tres puntos situados en la esquina superior derecha de la pantalla) y selecciona «Historial» en el menú desplegable que se abre.
Pulsa en «Borrar datos de navegación», selecciona la pestaña «AVANZADAS», elige el intervalo de tiempo y los tipos de datos que deseas eliminar y pulsa en «Borrar datos».
Desactivar las notificaciones del navegador en Chrome:
Pulsa el botón «Menú» (los tres puntos situados en la esquina superior derecha de la pantalla) y selecciona «Ajustes» en el menú desplegable que se abre.
Desplázate hacia abajo hasta que veas la opción «Configuración del sitio» y pulsa sobre ella. Desplázate hacia abajo hasta que veas la opción «Notificaciones» y pulsa sobre ella.
Busca los sitios web que envían notificaciones del navegador, pulsa sobre ellos y haz clic en «Borrar y restablecer». Esto eliminará los permisos concedidos a estos sitios web para enviar notificaciones. Sin embargo, la próxima vez que visites el mismo sitio, es posible que te vuelva a solicitar permiso. Puedes elegir si concedes estos permisos o no (si decides rechazarlos, el sitio web pasará a la sección «Bloqueados» y ya no te volverá a solicitar el permiso).
Restablecer el navegador web Chrome:
Ve a «Ajustes», desplázate hacia abajo hasta que veas «Aplicaciones» y pulsa sobre ella.
Desplázate hacia abajo hasta encontrar la aplicación «Chrome», selecciónala y pulsa la opción «Almacenamiento».
Pulsa «GESTIONAR ALMACENAMIENTO», luego «BORRAR TODOS LOS DATOS» y confirma la acción pulsando «Aceptar». Ten en cuenta que al restablecer el navegador se eliminarán todos los datos almacenados en él. Esto significa que se borrarán todos los nombres de usuario y contraseñas guardados, el historial de navegación, los ajustes no predeterminados y otros datos. Además, tendrás que volver a iniciar sesión en todos los sitios web.
Borrar el historial de navegación del navegador web Firefox:
Pulsa el botón «Menú» (los tres puntos situados en la esquina superior derecha de la pantalla) y selecciona «Historial» en el menú desplegable que se abre.
Desplázate hacia abajo hasta que veas «Borrar datos privados» y pulsa sobre él. Selecciona los tipos de datos que quieras eliminar y pulsa «BORRAR DATOS».
Desactivar las notificaciones del navegador en Firefox:
Visita el sitio web que envía notificaciones al navegador, pulsa el icono que aparece a la izquierda de la barra de direcciones (el icono no tiene por qué ser necesariamente un «Candado») y selecciona «Editar configuración del sitio».
En la ventana emergente que se abre, selecciona la opción «Notificaciones» y pulsa «BORRAR».
Restablecer el navegador web Firefox:
Ve a «Ajustes», desplázate hacia abajo hasta que veas «Aplicaciones» y pulsa sobre ella.
Desplázate hacia abajo hasta encontrar la aplicación «Firefox», selecciónala y pulsa la opción «Almacenamiento».
Pulsa «BORRAR DATOS» y confirma la acción pulsando «ELIMINAR». Ten en cuenta que al restablecer el navegador se eliminarán todos los datos almacenados en él. Esto significa que se borrarán todos los nombres de usuario y contraseñas guardados, el historial de navegación, los ajustes no predeterminados y otros datos. Además, tendrás que volver a iniciar sesión en todos los sitios web.
Desinstala las aplicaciones potencialmente no deseadas o maliciosas:
Ve a «Ajustes», desplázate hacia abajo hasta que veas «Aplicaciones» y pulsa sobre ella.
Desplázate hacia abajo hasta que veas una aplicación potencialmente no deseada o maliciosa, selecciónala y pulsa «Desinstalar». Si, por cualquier motivo, no puedes eliminar la aplicación seleccionada (por ejemplo, si aparece un mensaje de error), prueba a utilizar el «Modo seguro».
Inicia el dispositivo Android en «modo seguro»:
El «Modo seguro» del sistema operativo Android desactiva temporalmente la ejecución de todas las aplicaciones de terceros. Utilizar este modo es una buena forma de diagnosticar y resolver diversos problemas (por ejemplo, eliminar aplicaciones maliciosas que impiden a los usuarios hacerlo cuando el dispositivo funciona «con normalidad»).
Mantén pulsado el botón «Encendido» hasta que aparezca la pantalla «Apagar». Toca el icono «Apagar» y manténlo pulsado. Tras unos segundos, aparecerá la opción «Modo seguro» y podrás ejecutarla reiniciando el dispositivo.
Comprueba el consumo de batería de varias aplicaciones:
Ve a «Ajustes», desplázate hacia abajo hasta que veas «Mantenimiento del dispositivo» y pulsa sobre él.
Pulsa en «Batería» y comprueba el consumo de cada aplicación. Las aplicaciones legítimas o auténticas están diseñadas para consumir la menor energía posible, con el fin de ofrecer la mejor experiencia de usuario y ahorrar batería. Por lo tanto, un consumo elevado de batería puede indicar que la aplicación es maliciosa.
Comprueba el consumo de datos de varias aplicaciones:
Ve a «Ajustes», desplázate hacia abajo hasta que veas «Conexiones» y pulsa sobre ella.
Desplázate hacia abajo hasta que veas «Uso de datos» y selecciona esta opción. Al igual que ocurre con la batería, las aplicaciones legítimas o auténticas están diseñadas para minimizar el consumo de datos en la medida de lo posible. Esto significa que un consumo excesivo de datos puede indicar la presencia de una aplicación maliciosa. Ten en cuenta que algunas aplicaciones maliciosas pueden estar diseñadas para funcionar únicamente cuando el dispositivo está conectado a una red inalámbrica. Por este motivo, debes comprobar tanto el consumo de datos móviles como el de Wi-Fi.
Si detectas una aplicación que consume muchos datos aunque nunca la utilices, te recomendamos encarecidamente que la desinstales lo antes posible.
Instala las últimas actualizaciones de software:
Mantener el software actualizado es una buena práctica en lo que respecta a la seguridad de los dispositivos. Los fabricantes de dispositivos lanzan continuamente diversos parches de seguridad y actualizaciones de Android para corregir errores y fallos que podrían ser aprovechados por los ciberdelincuentes. Un sistema desactualizado es mucho más vulnerable, por lo que siempre debes asegurarte de que el software de tu dispositivo esté actualizado.
Ve a «Ajustes», desplázate hacia abajo hasta que veas «Actualización de software» y pulsa sobre ella.
Pulsa en «Descargar actualizaciones manualmente» y comprueba si hay actualizaciones disponibles. Si es así, instálalas inmediatamente. También te recomendamos que actives la opción «Descargar actualizaciones automáticamente»: así, el sistema te avisará cuando se publique una actualización y/o la instalará automáticamente.
Restablece el sistema a su configuración predeterminada:
Realizar un «Restablecimiento de fábrica» es una buena forma de eliminar todas las aplicaciones no deseadas, restablecer la configuración predeterminada del sistema y limpiar el dispositivo en general. Sin embargo, debes tener en cuenta que se borrarán todos los datos del dispositivo, incluidas las fotos, los archivos de vídeo y audio, los números de teléfono (almacenados en el dispositivo, no en la tarjeta SIM), los mensajes SMS, etc. En otras palabras, el dispositivo se restablecerá a su estado original.
También puedes restablecer la configuración básica del sistema o, si lo prefieres, solo la configuración de red.
Ve a «Ajustes», desplázate hacia abajo hasta que veas «Acerca del teléfono» y pulsa sobre él.
Desplázate hacia abajo hasta que veas «Restablecer» y pulsa sobre ello. Ahora elige la acción que deseas realizar:
"Restablecer ajustes" - restablece todos los ajustes del sistema a los valores predeterminados;
«Restablecer ajustes de red» - restablece todos los ajustes relacionados con la red a los valores predeterminados;
«Restablecimiento de datos de fábrica» - restablece todo el sistema y elimina por completo todos los datos almacenados;
Desactivar las aplicaciones que tienen privilegios de administrador:
Si una aplicación maliciosa obtiene privilegios de administrador, puede causar graves daños al sistema. Para mantener el dispositivo lo más seguro posible, debes comprobar siempre qué aplicaciones tienen esos privilegios y desactivar las que no deberían tenerlos.
Ve a «Ajustes», desplázate hacia abajo hasta que veas «Pantalla de bloqueo y seguridad» y pulsa sobre ella.
Desplázate hacia abajo hasta que veas «Otros ajustes de seguridad», pulsa sobre esa opción y, a continuación, pulsa «Aplicaciones de administrador del dispositivo».
Identifica las aplicaciones que no deberían tener privilegios de administrador, pulsa sobre ellas y, a continuación, pulsa «DESACTIVAR».
Preguntas frecuentes (FAQ)
Mi dispositivo está infectado con el malware PromptSpy, ¿debería formatear mi dispositivo de almacenamiento para eliminarlo?
Si sigues estos pasos, eliminarás PromptSpy, pero también se borrarán todos los datos, por lo que solo debes recurrir a esta opción como último recurso. Es recomendable realizar primero un análisis completo con un programa de seguridad fiable, como Combo Cleaner.
¿Cuáles son los principales problemas que puede causar el malware?
El malware puede acceder a tus datos personales, permitir que los atacantes tomen el control remoto de tu dispositivo, dañar (por ejemplo, cifrar) o borrar archivos, instalar más aplicaciones maliciosas, reducir la velocidad del sistema, provocar fallos y llevar a cabo otras actividades perjudiciales.
¿Para qué sirve PromptSpy?
El objetivo de PromptSpy es proporcionar a los atacantes el control remoto de un dispositivo Android infectado, manteniéndose oculto y persistente. Además, recopila información confidencial del dispositivo e impide que los usuarios lo eliminen fácilmente.
¿Cómo se ha infiltrado PromptSpy en mi dispositivo?
PromptSpy se propaga a través de sitios web bancarios falsos que alojan aplicaciones maliciosas para Android. Cuando una víctima instala la aplicación y permite las descargas de fuentes desconocidas, se descarga la carga útil de PromptSpy como si fuera una actualización falsa. A continuación, el malware solicita acceso a los servicios de accesibilidad e instala componentes como el módulo VNC de control remoto.
¿Me protegerá Combo Cleaner contra el malware?
Sí, Combo Cleaner puede detectar y eliminar la mayor parte del malware conocido. Dado que las amenazas avanzadas pueden estar profundamente ocultas en el sistema, se recomienda realizar un análisis completo para garantizar que se identifiquen y eliminen todos los componentes maliciosos.
Compartir:
Facebook
X.com
LinkedIn
Copiar enlace
Tomas Meskauskas
Investigador experto en seguridad, analista profesional de malware
Me apasiona todo lo relacionado con seguridad informática y tecnología. Me avala una experiencia de más de 10 años trabajando para varias empresas de reparación de problemas técnicos y seguridad on-line. Como editor y autor de PCrisk, llevo trabajando desde 2010. Sígueme en Twitter y LinkedIn para no perderte nada sobre las últimas amenazas de seguridad en internet.
El portal de seguridad PCrisk es ofrecido por la empresa RCS LT.
Investigadores de seguridad han unido fuerzas para ayudar a educar a los usuarios de ordenadores sobre las últimas amenazas de seguridad en línea. Más información sobre la empresa RCS LT.
Nuestras guías de desinfección de software malicioso son gratuitas. No obstante, si desea colaborar, puede realizar una donación.
DonarEl portal de seguridad PCrisk es ofrecido por la empresa RCS LT.
Investigadores de seguridad han unido fuerzas para ayudar a educar a los usuarios de ordenadores sobre las últimas amenazas de seguridad en línea. Más información sobre la empresa RCS LT.
Nuestras guías de desinfección de software malicioso son gratuitas. No obstante, si desea colaborar, puede realizar una donación.
Donar
▼ Mostrar discusión