PromptSpy : un malware Android guidé par Gemini

ESET alerte sur un malware Android IA générative baptisé PromptSpy. La menace utilise Gemini pour renforcer sa persistance et faciliter le contrôle du téléphone.

PromptSpy marque une nouveauté dans l’écosystème Android. D’après ESET, ce malware Android IA générative s’appuie sur Gemini pour guider des actions liées à la persistance. L’objectif reste le contrôle distant via un module VNC. Le cas illustre une montée en puissance des usages offensifs de l’IA dans les attaques mobiles.

Gemini sert de copilote pour rester visible… et intouchable

Dans cette famille, l’IA ne pilote pas tout. Elle intervient sur un segment précis, celui de la persistance. Gemini reçoit une vue de l’interface et renvoie des instructions pour “verrouiller” l’application dans la vue des applis récentes, une option que certains Android affichent via un pictogramme de cadenas. Résultat: l’appli malveillante résiste mieux aux tentatives de fermeture et reste à portée de clic, même après une action de nettoyage.

ESET note aussi une limite: le modèle et le texte de requête semblent inscrits dans le code. Pas de réglage à distance, pas de prompt qui change au fil de la campagne. Ce choix réduit la souplesse, mais laisse entrevoir une idée simple: l’IA peut remplacer des scripts fragiles dès qu’il faut s’adapter à des écrans, des menus et des versions Android très variés.

PromptSpy, le 1er malware Android boosté par l'IA

Un objectif clair: poser un accès distant via VNC

Selon ESET, PromptSpy vise surtout le déploiement d’un module VNC. Ce composant offre aux opérateurs une prise de contrôle à distance du téléphone, avec un usage possible pour la fraude, l’espionnage de sessions, ou la récupération de données sensibles. Le malware collecte aussi des infos système, réalise des captures d’écran et enregistre l’activité du mobile sous forme de vidéo.

Pour compliquer la suppression, il abuse des services d’accessibilité et bloque la désinstallation via des superpositions invisibles. Les échanges avec le serveur de commande sont chiffrés en AES, ce qui rend l’analyse réseau plus délicate.

Une campagne surtout argentine, peut-être un PoC

Les indices linguistiques et les canaux de diffusion pointent vers une opération à but financier, axée sur l’Argentine. ESET souligne toutefois un fait curieux: aucune détection via sa télémétrie, ce qui ouvre la porte à une preuve de concept ou à une diffusion encore limitée.

PromptSpy circule via un site dédié, hors Google Play. L’app se présente sous le nom MorganArg avec une identité visuelle qui évoque une banque. ESET a transmis ses conclusions à Google et rappelle que Play Protect bloque les variantes connues. Pour retirer l’infection malgré le blocage, la voie la plus fiable passe par le mode sans échec, puis la désinstallation depuis les réglages Android.

Article basé sur un communiqué de presse reçu par la rédaction.

Restez à la pointe de l'information avec INTELLIGENCE-ARTIFICIELLE.COM !

▶ Abonnez-vous à notre chaîne YouTube et rejoignez-nous sur Google Actualités

Partager l'article :

Facebook
Twitter
LinkedIn

Plus sur: Sécurité

Claude Mythos transforme enfin la cybersécurité

Le projet Glasswing révolutionne la détection des failles logicielles. Cette innovation technologique automatise désormais l’identification […] Plus
Cybersécurité : l’onde de choc Mythos pulvérise le marché du Pentesting

Trois jours après l’annonce cataclysmique du Project Glasswing d’Anthropic, le modèle Claude Mythos a déjà […] Plus
Front commun des géants de l’IA face à la distillation chinoise

Face à l’extraction massive de données par des laboratoires chinois, OpenAI, Google et Anthropic s’unissent […] Plus
CIA : « Tant que votre cœur bat, nous vous retrouverons »

La CIA, l’agence d’espionnage américaine a déployé pour la première fois sur le terrain une […] Plus