Martedì mattina, 7:42. Gli smartphone aziendali iniziano a comportarsi stranamente
Michele, responsabile IT di un'azienda manifatturiera di Bergamo, riceve la prima segnalazione alle 7:42 di un martedì qualunque. "Il telefono si riavvia da solo", dice il commerciale. Poi un secondo messaggio, dalla logistica. Poi un terzo, dall'amministrazione. Tutti smartphone Android aziendali, tutti con lo stesso sintomo: applicazioni che si riaprono automaticamente dopo essere state chiuse, consumo anomalo di batteria, comportamenti imprevedibili.
Michele apre la console MDM. Nessun alert. I profili di sicurezza sono a posto, l'antivirus non segnala nulla. Eppure c'è qualcosa che non torna. Decide di ispezionare manualmente uno dei dispositivi. Trova un'app che non dovrebbe esserci, installata tramite sideloading durante una campagna phishing della settimana precedente che aveva colpito tre dipendenti. L'app è ancora lì, silente, ma attiva.
Quello che Michele non sa ancora è che sta osservando PromptSpy, il primo malware Android documentato che abusa di Gemini, l'intelligenza artificiale conversazionale di Google, per mantenere la propria persistenza sul dispositivo. Non usa tecniche tradizionali di rootkit o privilege escalation. Usa l'AI.
PromptSpy interroga Gemini con prompt studiati per ottenere informazioni sulle app recenti, sui processi in esecuzione, sulle finestre attive. Poi usa queste informazioni per riaprirsi automaticamente quando l'utente tenta di chiuderlo, sfruttando le API di accessibilità di Android. È una tecnica nuova, che bypassa molti controlli di sicurezza tradizionali perché non lascia tracce nei log di sistema convenzionali. L'AI diventa, inconsapevolmente, un complice.
L'intelligenza artificiale come superficie d'attacco: il nuovo fronte
PromptSpy rappresenta un'evoluzione significativa nel panorama delle minacce mobile. Secondo i ricercatori di sicurezza che l'hanno scoperto, è il primo caso documentato di malware che integra un modello di linguaggio esterno nel proprio flusso di esecuzione non per generare contenuti dannosi, ma per ottenere intelligence operativa sul dispositivo vittima.
Il fenomeno dell'abuso di AI in contesti malevoli non è nuovo. Già nel 2024 si erano osservati casi di utilizzo di ChatGPT e altri LLM per generare codice di phishing personalizzato o per creare deepfake vocali convincenti. Ma PromptSpy fa un passo ulteriore: integra l'AI come componente funzionale dell'attacco, non solo come strumento preparatorio.
Le statistiche sul mobile malware in ambito enterprise mostrano una crescita costante. Gli smartphone aziendali sono diventati bersagli primari: accedono a email corporate, cloud storage, applicazioni di produttività, VPN aziendali. Un dispositivo compromesso può essere la porta d'ingresso verso l'intera infrastruttura IT. E con il BYOD (Bring Your Own Device) sempre più diffuso, il perimetro da proteggere si è espanso oltre i confini fisici dell'azienda.
Ciò che rende PromptSpy particolarmente insidioso è la sua capacità di operare in modo quasi invisibile. Le soluzioni di sicurezza mobile tradizionali cercano firme note, comportamenti anomali, comunicazioni con server C2 sospetti. PromptSpy comunica con i server legittimi di Google per interrogare Gemini. Dal punto di vista del network monitoring, sembra traffico normale.
L'abuso di servizi cloud legittimi per scopi malevoli è una tendenza consolidata. Gli attaccanti usano OneDrive per esfiltrare dati, Telegram per il comando e controllo, Discord per distribuire payload. PromptSpy porta questa logica nel mondo dell'AI conversazionale: se l'intelligenza artificiale è accessibile via API pubbliche, può essere interrogata da chiunque, incluso un malware.
Anatomia di PromptSpy: quando l'AI risponde alle domande sbagliate
Il funzionamento di PromptSpy si basa su una catena di azioni coordinate che sfruttano sia vulnerabilità tecniche che debolezze procedurali. Ecco come opera, passo dopo passo.
Fase 1: Infezione iniziale. PromptSpy arriva sul dispositivo tramite sideloading, mascherato da app legittima o utile. Le campagne osservate hanno utilizzato falsi aggiornamenti di sicurezza, app di produttività gratuite, o allegati APK in email di spear phishing mirate. Una volta installato, richiede permessi di accessibilità, giustificandoli con funzionalità apparentemente innocue.
Fase 2: Acquisizione permessi. I permessi di accessibilità su Android consentono a un'app di "vedere" cosa succede sullo schermo e interagire con altre applicazioni. Sono progettati per app di assistenza, screen reader, automazione. PromptSpy li usa per monitorare le app in esecuzione e per riaprirsi automaticamente.
Fase 3: Integrazione con Gemini. Il malware contiene prompt preconfezionati che invia a Gemini tramite le API pubbliche di Google. I prompt sono progettati per estrarre informazioni contestuali: "Quali applicazioni sono attualmente in esecuzione su un dispositivo Android tipico?", "Come può un'app Android rimanere attiva in background?", "Quali sono i processi di sistema comuni su Android 13?". Gemini risponde come farebbe a qualsiasi utente.
Fase 4: Parsing e azione. PromptSpy analizza le risposte di Gemini usando semplici pattern matching. Se Gemini menziona un'app di task management o un'app di pulizia memoria, PromptSpy verifica se quella app è installata sul dispositivo. Se rileva tentativi di chiusura forzata, usa i permessi di accessibilità per riaprirsi immediatamente, apparendo nella lista delle app recenti come se l'utente l'avesse aperto volontariamente.
Fase 5: Persistenza stealth. La vera innovazione è qui. PromptSpy non modifica file di sistema, non crea servizi persistenti visibili, non usa tecniche di hooking tradizionali. Semplicemente si riapre continuamente, sfruttando le informazioni fornite da Gemini su come le app Android gestiscono il ciclo di vita. Per l'utente medio, l'app sembra semplicemente "appiccicosa", difficile da chiudere. Non appare come malware.
Fase 6: Payload secondario. Una volta stabilita la persistenza, PromptSpy scarica moduli aggiuntivi: keylogger, screenshot capture, esfiltrazione di credenziali salvate, intercettazione SMS per 2FA. Questi moduli operano in background mentre l'app principale mantiene la sua presenza.
Ciò che rende PromptSpy difficile da rilevare è l'assenza di indicatori tradizionali. Non c'è traffico verso domini sospetti per il C2: usa canali Telegram o cloud storage legittimi. Non c'è codice offuscato particolarmente sofisticato: il payload principale è relativamente semplice. Non ci sono exploit 0-day: sfrutta solo permessi richiesti esplicitamente.
L'uso di Gemini è il trucco geniale. Invece di hardcodare le tecniche di persistenza nel malware stesso, PromptSpy le "impara" dall'AI in tempo reale. Questo significa che può adattarsi a diverse versioni di Android, a diversi modelli di dispositivi, a diverse configurazioni di sicurezza, semplicemente facendo domande diverse a Gemini.
Il costo nascosto: quando un malware mobile compromette l'intera azienda
Per l'azienda di Michele, PromptSpy ha significato tre settimane di crisi operativa. I dispositivi compromessi avevano accesso a:
- Email corporate con contratti, preventivi, comunicazioni con clienti
- Applicazioni cloud aziendali (CRM, ERP mobile)
- VPN aziendale per l'accesso remoto ai server interni
- Applicazioni di messaggistica con conversazioni di team
Una volta identificato il malware, è emerso che due dei dispositivi infetti appartenevano a manager con accesso a informazioni finanziarie riservate. Gli attaccanti avevano esfiltrato screenshot di dashboard finanziarie, credenziali di accesso salvate nel browser mobile, registrazioni audio di chiamate VoIP aziendali.
Il costo diretto: ripristino di 47 dispositivi, cambio di tutte le credenziali corporate, audit di sicurezza esteso, consulenza legale per valutare gli obblighi di notifica GDPR. Il costo indiretto: perdita di fiducia da parte di un cliente chiave che aveva visto il proprio preventivo riservato finire nelle mani di un competitor (probabilmente acquistato dagli attaccanti su un forum underground).
Ma il danno più profondo è stato quello reputazionale. In un settore B2B dove la riservatezza è fondamentale, la notizia di un data breach si diffonde rapidamente. Due gare d'appalto perse nei mesi successivi, con feedback informali che citavano "preoccupazioni sulla sicurezza IT".
PromptSpy dimostra che il mobile malware non è più un problema consumer. È una minaccia enterprise a tutti gli effetti. E le PMI italiane, spesso con policy BYOD permissive e pochi controlli sui dispositivi personali usati per lavoro, sono particolarmente vulnerabili.
Difendersi dall'AI weaponizzata: serve un approccio stratificato
La lezione di PromptSpy è chiara: le minacce evolvono sfruttando tecnologie emergenti. Come proteggersi?
Mobile Device Management robusto. Ogni smartphone che accede a risorse aziendali deve essere gestito tramite MDM. Questo permette di applicare policy di sicurezza, bloccare sideloading di app non autorizzate, forzare aggiornamenti di sicurezza, effettuare wipe remoto in caso di compromissione. Non è una protezione totale, ma riduce drasticamente la superficie d'attacco.
Formazione continua. PromptSpy arriva via phishing. Il primo filtro è l'utente. Training regolari su come riconoscere email sospette, link malevoli, richieste di permessi anomale sono fondamentali. La formazione cybersecurity deve includere scenari mobile-specific.
Network segmentation e Zero Trust. Gli smartphone non devono avere accesso diretto a risorse critiche. Implementare architetture Zero Trust significa che ogni dispositivo, inclusi i mobile, deve autenticarsi continuamente e ha accesso solo alle risorse strettamente necessarie. Un dispositivo compromesso può fare danni limitati.
Endpoint security mobile-aware. Le soluzioni di endpoint management moderne includono protezioni specifiche per mobile: rilevamento di jailbreak/rooting, analisi comportamentale, sandboxing di app sospette. Non sono infallibili contro minacce sofisticate come PromptSpy, ma aumentano le probabilità di detection.
Monitoraggio del traffico anomalo. Anche se PromptSpy usa servizi legittimi, ci sono pattern rilevabili: volumi di query API inusuali, richieste a orari anomali, traffico dati eccessivo da dispositivi specifici. Un SOC MDR può correlare questi segnali deboli e identificare compromissioni che sfuggono ai singoli tool.
Per aziende come quella di Michele, la partnership con un MSP specializzato come BullTech può fare la differenza. Non solo per implementare le tecnologie giuste, ma per avere un team che monitora continuamente, applica patch tempestivamente, risponde a incident in modo strutturato.
La fine dell'innocenza tecnologica
PromptSpy segna un punto di svolta. L'intelligenza artificiale, celebrata come strumento di produttività e innovazione, diventa arma. Non perché Google abbia creato Gemini con intenti malevoli, ma perché qualsiasi tecnologia potente è, per definizione, dual-use.
Le aziende devono abbandonare l'idea che la sicurezza IT sia un problema "tecnico" delegabile completamente al reparto IT. È una questione di governance, di cultura aziendale, di consapevolezza diffusa. Ogni dipendente con uno smartphone aziendale è un potenziale punto di ingresso.
La domanda non è più "se" l'AI sarà abusata per scopi malevoli, ma "come" le organizzazioni si preparano a questo scenario. PromptSpy è solo il primo esempio documentato pubblicamente. Quanti altri malware stanno già sfruttando LLM, API di AI, servizi cloud intelligenti in modi che non abbiamo ancora scoperto?
La cybersecurity è sempre stata una corsa agli armamenti. Oggi, quella corsa coinvolge anche l'intelligenza artificiale. E le PMI italiane non possono permettersi di arrivare impreparate.