L’intelligence artificielle générative n’est plus seulement un outil de productivité ; elle s’invite désormais dans l’arsenal des cybercriminels. Les chercheurs d’ESET Research viennent de sonner l’alarme avec la découverte de PromptSpy, le tout premier malware Android capable d’intégrer l’IA directement dans sa chaîne d’exécution. Si l’IA était déjà utilisée pour rédiger des mails de phishing, elle sert ici de « cerveau » opérationnel pour garantir que le virus reste accroché à votre téléphone, quoi qu’il arrive.
L’IA comme bouclier de persistance
Ce qui rend PromptSpy unique, c’est son interaction inédite avec le modèle Gemini de Google. Contrairement aux logiciels malveillants classiques qui reposent sur des scripts rigides, PromptSpy utilise l’IA pour analyser dynamiquement l’interface utilisateur de l’appareil compromis.
Concrètement, le malware envoie des requêtes à Gemini pour obtenir des instructions contextuelles. L’objectif ? Forcer son maintien dans la liste des applications récentes en « verrouillant » son icône (le fameux cadenas dans la vue multitâche d’Android). En automatisant cette tâche via l’IA, les attaquants s’assurent que le malware s’adapte instantanément à n’importe quel modèle de smartphone ou version du système, rendant sa fermeture manuelle par l’utilisateur particulièrement complexe.
Un arsenal d’espionnage piloté à distance
Derrière cette vitrine technologique se cache une finalité redoutable : le contrôle total. Le but principal de PromptSpy est de déployer un module VNC (Virtual Network Computing). Ce composant offre aux pirates un accès à distance transparent, comme s’ils tenaient votre téléphone entre leurs mains. Les capacités détectées par ESET sont exhaustives :
- Captures d’écran et enregistrements vidéo de votre activité en temps réel.
- Exfiltration de données sensibles depuis l’écran de verrouillage.
- Collecte massive d’informations système pour profiler la victime.
- Blocage de la désinstallation via des superpositions invisibles qui interceptent vos clics.
Un ciblage régional sous couverture bancaire
Baptisé sous le nom d’application « MorganArg » et arborant une icône détournant celle de la banque J.P. Morgan Chase, le malware semble viser spécifiquement les utilisateurs en Argentine. Bien que les preuves linguistiques pointent vers une motivation financière, les experts d’ESET n’ont pas encore détecté de victimes massives dans leur télémétrie. Cela suggère que PromptSpy pourrait actuellement être une « Preuve de Concept » (PoC) — un test grandeur nature avant une diffusion mondiale plus agressive.
« Avec l’IA générative, les cybercriminels créent des malwares capables de s’adapter automatiquement à n’importe quel écran ou version d’Android, » explique Lukáš Štefanko, le chercheur chez ESET à l’origine de la découverte. « Le malware devient universel. »
Comment se protéger et supprimer l’infection ?
La bonne nouvelle est que PromptSpy n’a jamais réussi à infiltrer le Google Play Store. Il se propage via des sites web tiers frauduleux. En tant que partenaire de l’App Defense Alliance, ESET a déjà collaboré avec Google pour mettre à jour Google Play Protect, qui bloque désormais les variantes connues du malware.
Si vous suspectez une infection : La suppression classique est souvent bloquée par le malware. ESET recommande la procédure suivante :
- Redémarrer en Mode Sans Échec : Maintenez le bouton d’alimentation, puis effectuez un appui long sur « Éteindre » pour voir apparaître l’option.
- Désinstaller manuellement : Une fois en mode sans échec (où les applications tierces sont inactives), allez dans Paramètres > Applications > MorganArg et procédez à la désinstallation sans interférence.
L’émergence de PromptSpy, survenant peu après la découverte de PromptLock en août 2025 par ESET (le premier ransomware piloté par IA), confirme une tendance de fond : l’IA est le nouveau champ de bataille de la cybersécurité mobile.
