El malware se ha vuelto demasiado listo: ahora usa la propia IA de Google para estafar a la publicidad. Y controlar Android a su antojo

La ingeniería del malware era, hasta ahora, algo así como un juego del gato y el ratón: contenía instrucciones rígidas para pulsar en lugares específicos de la pantalla. Pero ese método básico se ha acabado: una investigación de la firma de seguridad Dr. Web ha destapado una nueva generación de troyanos que usan IA para estafar a los anunciantes.

Los atacantes incluso integran TensorFlow, la biblioteca de aprendizaje automático de código abierto de Google. Así, analiza visualmente lo que ocurre en nuestro móvil y decide inteligentemente dónde pulsar: es capaz de imitar el comportamiento humano a la perfección.

Qué está pasando. Medios como Bleeping Computer alertan de un nuevo y peligroso malware para Android. Uno que se ha encontrado escondido en juegos aparentemente inofensivos distribuidos en GetApps: la tienda de Xiaomi, además de en repositorios de APKs modificados.

Cómo funciona. Su funcionamiento es silencioso: opera en un modo denominado como 'Phantom'. El virus abre el navegador nativo que tiene Android (WebView) fuera de la vista del usuario, carga sitios web con publicidad y utiliza un modelo de IA entrenado para analizar capturas en tiempo real. 

La IA identifica dónde están los botones de los anuncios, los enlaces y los botones de cerrar, sorteando las protecciones que detectan los bots tradicionales. Es, sin duda alguna, un salto brutal en el malware.

Por qué importa. Lo habitual hasta ahora era que los atacantes usaran scripts de JavaScript básicos. No obstante, al usar TensorFlow, cambian las reglas del juego: se aprovechan de una herramienta muy potente. Esto confirma algo que la comunidad lleva tiempo advirtiendo: las APIs de IA tienen capacidades que pueden ser abusadas.

Un estudio reciente presentado en el simposio de seguridad del IEEE demostró cómo se pueden transformar modelos de IA en malware (ataque TensorAbuse) explotando funciones de TensorFlow para leer archivos o ejecutar código sin ser detectados por los antivirus actuales. Este troyano es la materialización de esos temores técnicos.

Control remoto. La sofisticación no acaba en este punto. Los investigadores descubrieron un segundo modo de operación del malware: si la IA no puede resolver la situación, el malware usa WebRTC para transmitir vídeo de la pantalla del navegador. Eso implica permiso para hacer scroll, pulsar o escribir como si tuvieran el teléfono en la mano.

El riesgo. Aunque el objetivo es el fraude a redes publicitarias (lo que no roba tus datos bancarios), el impacto al usuario va por otro lado: un drenaje rápido de la batería y un consumo pasivo de datos móviles en segundo plano, todo por los procesos del modelo.

Además, demuestra que las barreras de entrada para crear malware inteligente han caído: herramientas diseñadas para optimizar apps ahora se usan para armar amenazas mucho más resistentes. Como siempre decimos, conviene mantenerse alejado de fuentes no oficiales de aplicaciones.

En Xataka Móvil | Usar emojis en las contraseñas es bien: la recomendación de seguridad más divertida es también muy útil