Publié le 24 février 2026. Un nouveau logiciel malveillant baptisé PromptSpy représente une première : il exploite l’intelligence artificielle générative de Google, Gemini, pour se maintenir activement sur les appareils Android et échapper à la suppression.
Les experts en cybersécurité ont mis en garde contre PromptSpy, une menace mobile inédite qui utilise les capacités de l’intelligence artificielle pour renforcer sa persistance sur les smartphones et tablettes Android. Découvert par la société de sécurité ESET, ce malware est le premier à intégrer l’IA générative dans son processus d’exécution.
Selon les chercheurs, PromptSpy exploite Gemini pour analyser l’écran de l’appareil et adapter son comportement en temps réel. L’objectif est d’éviter que l’application malveillante ne soit fermée ou désinstallée par l’utilisateur. « Gemini est utilisé pour analyser l’écran actuel et fournir à PromptSpy des instructions étape par étape pour s’assurer que l’application malveillante reste épinglée dans la liste des applications récentes, empêchant ainsi qu’elle ne soit facilement balayée ou tuée par le système », a expliqué Lukáš Štefanko, chercheur chez ESET.
Au-delà de sa capacité à persister, PromptSpy intègre un module Virtual Network Computing (VNC), permettant aux attaquants de prendre le contrôle à distance de l’appareil infecté. Ils peuvent ainsi visualiser l’écran, interagir avec les applications et potentiellement voler des informations sensibles. Le malware est également capable de capturer des données de l’écran de verrouillage, de bloquer les tentatives de désinstallation, de collecter des informations sur l’appareil, de prendre des captures d’écran et d’enregistrer des vidéos de l’activité de l’utilisateur.
Cette innovation permet aux cybercriminels de s’adapter plus facilement aux différents modèles d’appareils, aux résolutions d’écran et aux versions du système d’exploitation. Traditionnellement, les logiciels malveillants nécessitaient des scripts spécifiques pour chaque configuration. Grâce à l’IA, ce processus est automatisé, élargissant ainsi le champ d’action potentiel de l’attaque.
L’analyse de PromptSpy révèle qu’il communique avec ses serveurs de commande et de contrôle en utilisant un chiffrement AES, rendant la détection du trafic malveillant plus difficile. La campagne semble actuellement cibler principalement les utilisateurs en Argentine, via un site web externe associé à une application nommée MorganArg. Cependant, les chercheurs soulignent que le malware n’a pas encore été détecté en grande quantité, ce qui suggère qu’il pourrait s’agir d’une opération limitée ou d’une preuve de concept.
PromptSpy s’inscrit dans une tendance plus large d’utilisation de l’intelligence artificielle à des fins malveillantes. ESET avait déjà découvert PromptLock en août 2025, le premier ransomware piloté par l’IA. Les experts avertissent que cette tendance pourrait s’accentuer à l’avenir, augmentant la sophistication des menaces numériques. Ils recommandent de ne télécharger des applications que depuis des sources officielles et de vérifier attentivement les autorisations demandées.
Pour en savoir plus sur PromptSpy, vous pouvez consulter le rapport complet d’ESET et l’article de The Hacker News.