Publié le 21 février 2024 à 20h44. Un nouveau malware ciblant les appareils Android exploite l’intelligence artificielle de Google Gemini pour se maintenir actif et subtiliser des données bancaires, alertent les experts en sécurité d’ESET. Cette menace, adaptable et persistante, marque une étape nouvelle dans l’évolution des cyberattaques.
- Le malware PromptSpy est le premier cheval de Troie Android à utiliser activement l’IA générative pour ses opérations malveillantes.
- Il exploite l’IA Gemini pour contourner les mécanismes de sécurité et rester actif même après un redémarrage de l’appareil.
- PromptSpy cible les applications bancaires et peut voler des informations de connexion, des mots de passe et des codes d’authentification à deux facteurs.
Des chercheurs de la société de cybersécurité ESET ont analysé ce nouveau malware, baptisé PromptSpy, les 19 et 20 février. L’originalité de cette menace réside dans son utilisation de l’intelligence artificielle de Google, Gemini, pour assurer sa propre survie au sein des smartphones Android. Contrairement aux logiciels malveillants traditionnels, PromptSpy ne se contente pas d’infecter un appareil ; il s’efforce activement de se rendre indétectable et difficile à supprimer.
Le fonctionnement de PromptSpy repose sur une astuce ingénieuse. L’IA analyse l’interface utilisateur du smartphone infecté et génère des instructions détaillées pour ancrer l’application malveillante dans la liste des applications récemment utilisées. Cette manœuvre, souvent signalée par une icône de cadenas, empêche le système d’exploitation de fermer complètement le malware. Il survit ainsi aux redémarrages et aux processus de nettoyage de la mémoire. Pour fonctionner, PromptSpy exige cependant l’accès aux fonctionnalités d’accessibilité d’Android, une autorisation qu’il sollicite de manière insistante dès son installation.
Si, pour l’instant, l’IA sert principalement à assurer la persistance du malware, les autres capacités de PromptSpy représentent une menace sérieuse pour les applications financières. Le cheval de Troie est capable d’enregistrer l’écran, de prendre des captures d’écran et de contrôler l’appareil à distance. Cela permet aux attaquants de subtiliser des informations sensibles telles que les identifiants de connexion, les mots de passe et les codes 2FA (authentification à deux facteurs). Ils peuvent également lancer des transactions frauduleuses ou consulter les soldes des comptes bancaires sans être détectés.
Pour se protéger contre cette menace, les experts d’ESET recommandent de télécharger des applications uniquement à partir de sources fiables, comme le Google Play Store. Les chevaux de Troie comme PromptSpy se propagent souvent via des plateformes de téléchargement non officielles ou des sites web compromis. Il est également crucial de faire preuve de vigilance face aux demandes d’autorisation, en particulier celles concernant l’accès aux fonctionnalités d’accessibilité, qui ne doivent être accordées qu’aux applications de confiance.
ESET a partagé ses découvertes avec Google, qui affirme que les appareils protégés par Google Play Protect sont immunisés contre les variantes connues de PromptSpy. Néanmoins, l’émergence de ce malware souligne une tendance inquiétante : l’intégration croissante de l’intelligence artificielle dans les cyberattaques, nécessitant une vigilance accrue de la part des utilisateurs et des professionnels de la sécurité.
Pour approfondir vos connaissances sur les menaces actuelles en matière de cybersécurité, y compris les attaques basées sur l’IA, vous pouvez télécharger gratuitement le guide « Tendances de sensibilisation à la cybersécurité ».