Publié le 19 février 2024. Un nouveau malware baptisé PromptSpy exploite l’intelligence artificielle de Google, Gemini, pour prendre le contrôle total des smartphones Android, ouvrant la voie à une nouvelle génération de cyberattaques autonomes et particulièrement sophistiquées.
- PromptSpy est le premier malware Android à utiliser activement l’IA Gemini pour naviguer et contrôler à distance les appareils.
- Le malware contourne les systèmes de sécurité traditionnels en utilisant Gemini pour interpréter l’interface utilisateur et exécuter des commandes précises.
- Les experts en sécurité mettent en garde contre une tendance croissante à l’utilisation de l’IA par les cybercriminels pour développer des logiciels malveillants plus adaptatifs et difficiles à détecter.
Des chercheurs de l’entreprise de sécurité ESET ont récemment mis en lumière l’existence de PromptSpy, un logiciel malveillant qui marque une étape significative dans l’évolution des cybermenaces. Contrairement aux malwares traditionnels, qui reposent sur des instructions préprogrammées, PromptSpy s’appuie sur l’intelligence artificielle de Google, Gemini, pour s’adapter dynamiquement à l’environnement de l’appareil infecté.
Le fonctionnement de PromptSpy est particulièrement ingénieux. Le malware capture une image de l’écran du smartphone sous forme de fichier XML, puis l’envoie à l’API Gemini. Il accompagne cette image d’une requête spécifique, demandant à l’IA de se comporter comme un « assistant d’automatisation Android ». Gemini analyse alors l’image et fournit des instructions précises, sous forme de commandes JSON, indiquant au malware où cliquer ou glisser sur l’écran.
Grâce à ce processus interactif, PromptSpy est capable d’effectuer des actions complexes, comme épingler son application dans la liste des applications récemment utilisées, rendant ainsi sa désinstallation plus difficile pour l’utilisateur ou le système. Le malware exploite également les services d’accessibilité d’Android, lui permettant de bloquer les tentatives de désinstallation en superposant des fenêtres invisibles sur les menus importants.
Une fois installé, PromptSpy déploie tout son potentiel malveillant. Il capture les données de l’écran de verrouillage, collecte des informations sur l’appareil, prend des captures d’écran et enregistre même l’intégralité de l’écran sous forme vidéo. Combiné à un module d’accès à distance (VNC), cela permet aux attaquants d’espionner complètement l’appareil, y compris le vol de mots de passe, de coordonnées bancaires et de messages privés.
Cette découverte s’inscrit dans une tendance plus large à l’utilisation de l’IA par les cybercriminels. Google a récemment signalé que des acteurs malveillants chinois, nord-coréens et iraniens utilisaient déjà Gemini pour accélérer le développement de logiciels malveillants, identifier des cibles d’attaque et créer des campagnes de phishing. Cependant, PromptSpy va plus loin en intégrant l’IA directement dans le processus opérationnel sur l’appareil, ce qui le rend plus adaptable et potentiellement plus difficile à détecter.
Les experts en sécurité craignent que PromptSpy ne soit le précurseur d’une nouvelle génération de logiciels malveillants autonomes, contrôlés par l’IA, capables d’évoluer et de s’adapter en temps réel pour contourner les défenses traditionnelles.
Pour se protéger contre cette menace émergente, il est essentiel de suivre les règles de sécurité de base : installer uniquement des applications provenant de sources fiables, comme le Google Play Store, et vérifier attentivement les autorisations demandées par les applications, en particulier celles liées aux services d’accessibilité. Il est également crucial de maintenir le système d’exploitation Android et toutes les applications à jour pour corriger les vulnérabilités de sécurité connues, et d’utiliser une solution de sécurité mobile réputée.
Pour en savoir plus sur les mesures de protection contre les attaques contrôlées par l’IA, vous pouvez télécharger gratuitement un rapport sur la cybersécurité.
La question demeure : ces mesures seront-elles suffisantes pour contrer les logiciels malveillants contrôlés par l’IA qui s’adaptent dynamiquement aux nouvelles menaces ?