Publié le 20 février 2024. Un nouveau malware ciblant les appareils Android utilise pour la première fois l’intelligence artificielle générative pour contourner les protections et prendre le contrôle des smartphones, ouvrant une nouvelle ère de cyberattaques mobiles.
- Un malware nommé PromptSpy se fait passer pour une application bancaire et utilise l’IA de Google Gemini pour analyser l’écran et simuler les actions d’un utilisateur.
- Cette approche permet au malware de s’adapter à différentes interfaces et versions d’Android sans nécessiter de code spécifique pour chaque appareil.
- Les utilisateurs sont encouragés à installer des applications uniquement à partir de sources officielles et à être vigilants quant aux autorisations d’accessibilité.
Des chercheurs en sécurité de la société ESET ont identifié ce nouveau malware, baptisé PromptSpy, qui se déguise en une fausse application bancaire, plus précisément une version contrefaite de l’application JPMorganChase, nommée « MorganArg ». La distribution de ce logiciel malveillant se fait via des sites web compromis, et non par le biais des plateformes de téléchargement officielles comme Google Play Store. Pour l’instant, la campagne semble principalement cibler les utilisateurs en Argentine, mais la technologie sous-jacente pourrait être déployée à l’échelle mondiale sur divers systèmes d’exploitation.
Ce qui distingue PromptSpy des menaces Android habituelles est son utilisation directe du modèle d’IA Gemini de Google pendant son fonctionnement. Au lieu de reposer sur des instructions préprogrammées et rigides, le malware envoie le contenu affiché à l’écran à Gemini pour analyse.
L’IA analyse ensuite l’interface utilisateur et détermine, étape par étape, les boutons à activer pour empêcher la fermeture de l’application. Selon Lukas Stefanko, chercheur chez ESET Research :
« Le malware permet à l’IA de déterminer elle-même les actions à entreprendre. Cela signifie qu’il fonctionne sur presque tous les appareils, quel que soit le fabricant ou la version d’Android installée. Cette adaptabilité est particulièrement remarquable. »
Une fois installé, PromptSpy déploie un module de contrôle à distance qui confère aux attaquants un contrôle quasi total sur le smartphone de la victime. Ils peuvent ainsi : surveiller l’écran en temps réel, lire les frappes au clavier et intercepter les mots de passe, récupérer les codes de verrouillage de l’appareil, lire les messages et lancer des applications, voire même initier des virements bancaires de manière autonome. La suppression de l’application est également compliquée par la présence d’éléments invisibles qui bloquent activement certains boutons.
« Nous assistons à une nouvelle dimension des logiciels malveillants Android », souligne Stefanko. « L’IA n’est pas simplement un argument marketing, elle est réellement utilisée pour contourner les mécanismes de protection. »
PromptSpy n’est pas le premier cas d’intégration profonde de l’IA générative dans un code malveillant. Après la découverte du ransomware basé sur l’IA, appelé PromptLock en août 2025, cette découverte représente le deuxième cas connu où des cybercriminels exploitent spécifiquement l’IA pour surmonter les obstacles techniques liés à la sécurité. L’analyse du code source suggère que les développeurs opèrent dans un environnement où le chinois est parlé.
Bien que cette menace soit techniquement nouvelle, les mesures de sécurité classiques restent efficaces. Il est recommandé de :
- Installer des applications uniquement à partir de sources officielles. L’utilisation exclusive du Google Play Store et l’évitement des fichiers APK provenant de sites tiers réduit considérablement le risque d’infection.
- Faire preuve de prudence avec les autorisations d’accessibilité. Une demande d’accès aux services d’accessibilité doit susciter un certain scepticisme, car ces autorisations offrent un accès étendu à l’appareil et sont souvent abusées par les logiciels malveillants.
- Effectuer des mises à jour régulières du système. Les versions récentes d’Android corrigent les vulnérabilités de sécurité exploitées par les logiciels malveillants.
- Laisser Google Play Protect activé. Les appareils protégés par Play Protect bénéficient d’une protection contre les variantes connues de PromptSpy.
- En cas de suspicion : utiliser le mode sans échec. Si une infection est suspectée, redémarrer l’appareil en mode sans échec permet de désactiver les applications tierces et de faciliter leur désinstallation.
ESET publie des détails techniques supplémentaires et des captures d’écran à des fins d’analyse sur son blog de sécurité officiel welivesecurity.com.
Sierks Media / © Photo : Daniel Romero, Unsplash