Dans un contexte où les cyberattaques évoluent sans cesse, une nouvelle menace nommée PromptSpy attire l’attention des experts en sécurité. Ce malware Android innovant utilise l’intelligence artificielle pour se maintenir actif sur les appareils infectés, ouvrant ainsi une nouvelle ère de cyberespionnage.
L’essentiel à retenir
- PromptSpy est un malware Android qui utilise l’IA générative pour s’adapter et rester actif sur les appareils infectés.
- Le LLM de Google, Gemini, est utilisé pour analyser l’interface utilisateur et garantir que l’application infectée reste ouverte.
- Le logiciel malveillant est capable de prendre le contrôle à distance de l’appareil, offrant des fonctionnalités d’espionnage avancées.
La stratégie inédite de PromptSpy
Dévoilé par ESET en février 2026, PromptSpy se distingue par son utilisation d’un modèle de langage avancé, Gemini de Google. Contrairement aux malwares traditionnels qui s’appuient sur des scripts statiques, PromptSpy envoie une description complète de l’écran de l’appareil à l’IA. Cela inclut le texte, la nature et la position de chaque élément d’interface. Gemini analyse ces données et fournit des instructions spécifiques pour que l’application reste dans la liste des applications récemment utilisées.
Le principal défi pour le malware est de contourner les différentes méthodes de verrouillage des applications qui varient selon les constructeurs et les versions d’Android. Grâce à l’analyse et aux instructions fournies par Gemini, PromptSpy parvient à s’adapter à chaque situation unique.
Fonctionnalités d’espionnage avancées
PromptSpy ne se contente pas de rester actif; il vise à obtenir un contrôle total sur l’appareil. Pour ce faire, il installe un module VNC qui permet aux attaquants de voir l’écran en temps réel et d’interagir avec le téléphone comme s’ils le tenaient en main. Cette capacité de prise de contrôle à distance est complétée par des fonctionnalités d’espionnage telles que la capture de mots de passe, l’enregistrement de vidéos d’activité écran et l’inventaire des applications installées.
Diffusion et portée limitée
Selon le rapport, PromptSpy a été diffusé par le biais d’un faux site web bancaire, sans passer par la plateforme Google Play. Il s’agit pour l’instant d’un prototype ou d’un proof-of-concept, ce qui limite la portée de la campagne. Cependant, les experts considèrent ce développement comme une exploration inédite du cyberespionnage sur Android, ouvrant potentiellement la voie à d’autres menaces similaires à l’avenir.
Contexte et implications de PromptSpy
PromptSpy s’inscrit dans une tendance croissante de l’utilisation de l’IA dans les cyberattaques. Google, avec son modèle Gemini, joue un rôle clé dans cette évolution, bien que son intention première ne soit pas malveillante. Ce type d’utilisation de l’IA soulève des questions sur la sécurité des appareils mobiles et la nécessité de nouvelles stratégies de défense.
Les grandes entreprises de cybersécurité, telles que Symantec et McAfee, sont également engagées dans la lutte contre ces menaces évolutives. La compétition entre ces acteurs pour la mise au point de solutions de sécurité avancées est intense, reflétant l’importance croissante de la protection contre les cyberattaques sophistiquées.
Source : https://www.welivesecurity.com/en/eset-research/promptspy-ushers-in-era-android-threats-using-genai/