Un malware Android utilise Google Gemini comme contrôle pour la première fois

Publié le 22 février 2026 à 21h48. Un nouveau malware Android, nommé PromptSpy, exploite l’intelligence artificielle de Google Gemini pour automatiser ses actions et contourner les mesures de sécurité, ouvrant la voie à une nouvelle génération de cyberattaques plus sophistiquées.

• PromptSpy est le premier malware Android connu à utiliser l’IA générative pour persister sur un appareil.
• Le malware utilise Google Gemini pour analyser l’écran et déterminer les actions à effectuer pour rester actif, notamment en se maintenant dans la liste des applications récentes.
• Une fois installé, PromptSpy permet aux attaquants de prendre le contrôle à distance de l’appareil, d’accéder aux données sensibles et même d’effectuer des transactions financières.

Des chercheurs en sécurité d’ESET ont découvert PromptSpy, un malware Android qui représente une avancée significative dans le domaine des cybermenaces. Contrairement aux logiciels malveillants traditionnels, PromptSpy ne repose pas sur du code préprogrammé, mais sur l’intelligence artificielle pour s’adapter et contourner les défenses. Il se présente initialement comme une application bancaire, trompant ainsi les utilisateurs.

Le fonctionnement de PromptSpy est particulièrement innovant. Le malware analyse le contenu de l’écran de l’appareil infecté et envoie ces informations à Google Gemini. L’IA interprète ensuite les éléments de l’interface utilisateur – boutons, menus, fenêtres contextuelles – et fournit à PromptSpy des instructions précises sur les actions à entreprendre. Selon The Hacker News, ce processus permet au malware de naviguer de manière autonome dans les paramètres du système et d’empêcher sa désinstallation ou sa suppression.

Une fois qu’il a pris pied sur l’appareil, PromptSpy installe un module de contrôle à distance basé sur la technologie Virtual Network Computing (VNC). Cela permet aux attaquants de surveiller l’écran en temps réel, de lire les frappes au clavier et d’intercepter les codes de verrouillage. Les conséquences peuvent être graves, allant du vol de données personnelles et de mots de passe à la réalisation de transactions financières frauduleuses. Les criminels peuvent agir comme si l’appareil était entre leurs mains.

La campagne actuelle semble cibler principalement les utilisateurs en Argentine, avec un malware se faisant passer pour une application bancaire appelée « MorganArg », imitant l’application Chase/JPMorgan. Cependant, les chercheurs d’ESET soulignent que la technologie sous-jacente pourrait être utilisée à l’échelle mondiale, menaçant ainsi tous les utilisateurs d’Android. PromptSpy n’est pas distribué via le Google Play Store, mais par le biais de faux sites web et de canaux non officiels.

Google a confirmé que les appareils protégés par Google Play Protect sont protégés contre les variantes connues de PromptSpy. Néanmoins, la mesure de protection la plus importante reste la prudence : il est essentiel de n’installer des applications que depuis des sources fiables, telles que le Play Store officiel. Il est également crucial de faire attention aux demandes d’autorisations, en particulier celles concernant les services d’accessibilité, qui permettent aux applications de lire le contenu de l’écran et de simuler les interactions de l’utilisateur – une porte dérobée potentielle pour les cybercriminels.

PromptSpy est le premier malware Android documenté dans lequel l’IA générative joue un rôle aussi central, selon ESET. Les développeurs de logiciels malveillants commencent à exploiter pleinement le potentiel de l’intelligence artificielle, rendant leurs attaques plus adaptables, plus résilientes et plus difficiles à détecter. Cela nécessite une adaptation constante des stratégies de défense et une vigilance accrue de la part des utilisateurs.