Publié le 21 février 2024 14:30:00. Un nouveau malware ciblant les smartphones Android exploite l’intelligence artificielle de Google Gemini pour contourner les systèmes de sécurité et prendre le contrôle des appareils, représentant une escalade significative des menaces mobiles.
- Un cheval de Troie, dissimulé sous l’apparence d’une application bancaire, utilise l’IA pour analyser les interfaces et simuler les actions d’un utilisateur.
- Cette nouvelle méthode, nommée PromptSpy, permet au malware de fonctionner sur différents modèles de smartphones et versions d’Android.
- Les chercheurs en sécurité mettent en garde contre une professionnalisation croissante de la cybercriminalité, facilitée par l’accès à des plateformes de type « Malware-as-a-Service » et l’utilisation de l’IA.
Des chercheurs de l’entreprise de cybersécurité ESET ont récemment découvert un nouveau malware Android particulièrement sophistiqué. Ce cheval de Troie, qui se présente aux utilisateurs comme une application bancaire légitime, est capable de prendre le contrôle total d’un smartphone à distance. L’attaque se concentre actuellement sur les utilisateurs en Argentine, mais les experts craignent que la technologie puisse être rapidement déployée à l’échelle mondiale.
Ce qui distingue ce malware, baptisé PromptSpy, est son approche innovante. Au lieu de s’appuyer sur des scripts préprogrammés, il exploite les capacités d’analyse visuelle de l’intelligence artificielle Gemini de Google. Le malware prend une capture d’écran de l’écran du smartphone et l’envoie à Gemini pour qu’elle l’analyse. L’IA interprète ensuite l’interface utilisateur comme le ferait un humain et indique au malware quels boutons appuyer pour naviguer dans les menus et s’implanter profondément dans le système.
PromptSpy cible particulièrement les « Services d’accessibilité » d’Android, des fonctionnalités initialement conçues pour aider les personnes handicapées à utiliser leurs appareils. En exploitant abusivement ces services, le malware obtient des droits malveillants lui permettant de lire le contenu de l’écran, d’enregistrer les frappes au clavier et d’interagir avec d’autres applications. Cette méthode confère au cheval de Troie une flexibilité remarquable, lui permettant de fonctionner indépendamment du fabricant du smartphone ou de la version d’Android installée.
Contrôle total et risques financiers
Une fois que PromptSpy a obtenu les autorisations nécessaires, il installe un module de contrôle à distance. Les cybercriminels peuvent alors surveiller l’écran en temps réel, intercepter chaque frappe et même voler le code PIN de déverrouillage du smartphone. Ces capacités d’accès à distance ouvrent la voie à des activités frauduleuses, notamment le vol d’informations financières.
Une tactique couramment utilisée par les attaquants est l’attaque par superposition. Si le malware détecte que l’utilisateur ouvre son application bancaire légitime, il affiche rapidement une fausse application trompeuse par-dessus. Si la victime saisit ses identifiants sur cette fausse application, les informations sont directement transmises aux criminels. Avec un accès complet au smartphone, les attaquants peuvent effectuer des virements non autorisés, vider des comptes bancaires et même intercepter les codes de sécurité envoyés par SMS.
Propagation via de fausses applications
Actuellement, PromptSpy se propage principalement via de faux sites Web qui proposent une application bancaire contrefaite, « MorganArg », imitant l’application Chase/JPMorgan. Les cybercriminels utilisent également des applications apparemment inoffensives, telles que des lecteurs PDF, des gestionnaires de fichiers ou des outils système, pour dissimuler le malware. Dans certains cas, ces versions manipulées parviennent même brièvement à être publiées sur le Google Play Store officiel, avant que la fonction malveillante ne soit activée lors d’une mise à jour ultérieure.
L’IA, un atout pour la cybercriminalité
L’intégration de l’IA générative au cœur du malware représente une nouvelle étape dans l’escalade des menaces cybernétiques. Bien que des chevaux de Troie bancaires avancés, tels que Vultur ou Hook, existent déjà, PromptSpy automatise l’adaptabilité, rendant les attaques plus efficaces et plus difficiles à détecter. Les experts soulignent que la cybercriminalité se professionnalise et se structure de plus en plus, avec l’émergence de plateformes « Malware-as-a-Service » qui permettent même aux personnes peu qualifiées de lancer des attaques complexes. L’utilisation de l’IA facilite encore davantage le développement de logiciels malveillants robustes.
Comment se protéger
Bien que la campagne actuelle soit limitée géographiquement, la technologie utilisée par PromptSpy pourrait facilement être adaptée à d’autres marchés. Il est donc essentiel que les utilisateurs d’Android respectent les règles de sécurité de base.
Pour vous protéger contre les nouveaux chevaux de Troie pour smartphones basés sur l’IA, comme PromptSpy, vous trouverez des mesures de protection pratiques dans un livre électronique gratuit sur la cybersécurité. Ce guide explique les menaces actuelles, les attaques de phishing et de superposition, et les mesures simples à prendre pour sécuriser votre téléphone portable.
Installez uniquement des applications provenant du Google Play Store officiel et évitez de télécharger des fichiers à partir de sources inconnues. Soyez particulièrement vigilant si une application demande des autorisations excessives, notamment pour les fonctionnalités d’accessibilité. Assurez-vous également que votre système d’exploitation et toutes vos applications sont toujours à jour. Profitez de la protection intégrée de Google Play Protect, qui bloque déjà les versions connues de PromptSpy. En cas de comportement suspect, redémarrez votre smartphone en mode sans échec pour désinstaller les applications malveillantes.