PromptSpy : Le premier malware Android qui utilise l’IA Gemini

Des chercheurs de chez ESET Research ont découvert un nouveau virus baptisé PromptSpy. C’est le tout premier malware Android à utiliser l’intelligence artificielle générative (en l’occurrence Gemini de Google) pour s’assurer de ne jamais être supprimé de votre téléphone.

Comme l’explique l’article de Clubic, les virus classiques ont souvent du mal à s’adapter aux différentes interfaces des constructeurs (Samsung, Xiaomi, Google, etc.). PromptSpy, lui, contourne le problème : il prend une capture de votre écran et demande à l’IA : « Dis-moi sur quoi je dois cliquer pour rester actif ».

Comment l’IA aide le virus à rester « épinglé »

D’après le rapport officiel publié sur WeLiveSecurity (le blog technique d’ESET), le malware ne se contente pas de voler des données. Son premier objectif est la persistance. Il utilise Gemini pour analyser le menu des applications récentes et trouver comment « verrouiller » sa propre fenêtre.

Une fois que l’IA lui a donné les bonnes coordonnées de clic, le malware s’épingle tout seul. À partir de là, vous avez beau essayer de fermer toutes vos applications en les faisant glisser, celle du virus reste bloquée. C’est assez vicieux parce que le script n’est plus figé : il discute en temps réel avec l’IA pour s’adapter à votre version d’Android.

Un malware qui imite les applications bancaires

Sinon, pour vous piéger, PromptSpy ne débarque pas de nulle part. Il se cache souvent dans de fausses applications. Les chercheurs ont notamment repéré une version nommée MorganArg, qui imite l’application de la banque JPMorgan Chase en Argentine.

Voici ce que les experts d’ESET ont listé comme capacités :

• Prise de contrôle à distance : Grâce à un module VNC, les pirates voient votre écran en direct.
• Espionnage du clavier : Il enregistre tout ce que vous tapez (mots de passe, messages).
• Blocage de la désinstallation : Il crée des zones de clic invisibles par-dessus le bouton « Supprimer » pour vous empêcher d’agir.

Est-on à risque avec une application bancaire française ?

Forcément, on se demande si nos banques comme la Société Générale, le Crédit Agricole ou Boursorama sont dans le viseur. Pour l’instant, rassurez-vous : les chercheurs n’ont pas encore trouvé de versions ciblant spécifiquement le marché français. La version analysée par ESET visait l’Argentine, mais dans le web, les frontières n’existent pas vraiment. Bref, la technique est là, et rien n’empêche les pirates de l’adapter pour nos applis locales demain.

Le vrai risque, ce n’est pas une faille dans votre appli de banque, mais bien le fait que PromptSpy utilise l’IA pour « voir » votre écran. Si le virus réussit à s’installer, il peut lire vos codes de validation ou enregistrer ce que vous tapez sur votre clavier, peu importe la banque que vous utilisez. C’est là que c’est vicieux : il ne casse pas la sécurité de la banque, il vous espionne vous, directement sur votre interface.

Aussi, les banques françaises utilisent souvent la double authentification avec une « clé digitale ». C’est une sécurité solide, mais si le malware prend le contrôle total du téléphone via son module VNC, il peut théoriquement valider des opérations à votre place. Du coup, la meilleure défense reste de ne jamais installer d’appli bancaire via un lien reçu par SMS ou par mail, même si ça a l’air super officiel. Voilà, restez vigilants, mais ne paniquez pas pour autant.

Comment supprimer ce malware et protéger son Android

Pour l’instant, selon The Hacker News, le malware semble surtout être une « preuve de concept » ou cibler des régions spécifiques, mais la technique pourrait vite se généraliser. Si jamais vous pensez être infecté, la méthode recommandée est radicale : il faut redémarrer votre smartphone en mode sans échec.

Dans ce mode, les applications téléchargées sont désactivées. Vous pouvez alors aller dans vos paramètres et supprimer manuellement l’application malveillante. Aussi, vérifiez bien que Google Play Protect est activé sur votre téléphone. Même si les pirates sont malins, les antivirus commencent déjà à intégrer la signature de PromptSpy pour le bloquer avant qu’il ne s’installe.

Bref, faites vraiment attention aux APK que vous téléchargez en dehors du Play Store, surtout si on vous promet une « mise à jour critique » de votre banque. C’est une étape assez marquante dans la cybercriminalité : les pirates détournent nos outils de tous les jours pour rendre leurs attaques plus dynamiques.

Sources et informations complémentaires :

• Clubic : Un malware Android parle à une IA pour survivre sur votre téléphone
• ESET Research (WeLiveSecurity) : PromptSpy ushers in the era of Android threats using GenAI
• The Hacker News : New PromptSpy Android Malware Abuses Google’s Gemini AI
• ZDNet : Veille cybersécurité et menaces mobiles sur Android

Note de transparence : Cet article a été rédigé avec un petit coup de pouce de l’intelligence artificielle. Rassurez-vous, contrairement à PromptSpy, mon IA est restée polie, n’a pas tenté de verrouiller mon navigateur et ne m’a pas demandé d’argent (enfin, pas encore). On a bossé ensemble pour vous décrypter tout ça sans que ce soit trop indigeste. Bref, une collaboration humain-machine garantie sans malware !