Cyberattaques – Logiciels malveillants Android alimentés par l'IA
Pour la première fois, un logiciel malveillant Android utilise activement l'IA générative pendant son fonctionnement.
Des chercheurs en sécurité d'ESET ont découvert un logiciel malveillant qui attaque les systèmes de Google. GEMINI-modèle utilisé pour s'implanter sur les appareils infectés – inaugurant ainsi une nouvelle ère de cyberattaques mobiles.
Qu'est-ce que PromptSpy ?
Des chercheurs de la société européenne de sécurité informatique ESET ont identifié un nouveau logiciel malveillant Android appelé PromptSpy, qui se fait passer pour une application bancaire. Application « MorganArg » se fait passer pour une fausse version de l'application JPMorganChase.
Elle est diffusée via des sites web manipulés, et non par les plateformes de téléchargement d'applications officielles. Pour l'instant, la campagne cible principalement les utilisateurs argentins, mais la technologie utilisée est applicable à l'échelle mondiale sur toutes les plateformes.
Ce qui distingue PromptSpy des logiciels malveillants Android connus, c'est l'utilisation directe du modèle d'IA Gemini de Google lors de son fonctionnement.
L'IA analyse en temps réel
Au lieu de s'appuyer sur des commandes rigides et préprogrammées, le logiciel malveillant transmet le contenu actuel de l'écran à Gemini.
L'IA analyse l'interface et spécifie étape par étape les boutons à presser pour empêcher la fermeture de l'application.
« Ce logiciel malveillant utilise l’IA pour déterminer ses actions futures », explique Lukas Stefanko d’ESET Research. « Cela lui permet de fonctionner sur quasiment n’importe quel appareil, quel que soit le fabricant ou la version d’Android. Il est donc particulièrement adaptable. »
Cette approche permet au logiciel malveillant de s'adapter dynamiquement aux différentes interfaces d'appareils et aux versions d'Android, sans que les attaquants aient à écrire un code distinct pour chaque appareil.
Accès à l'appareil après l'installation
Après une installation réussie, PromptSpy installe un module de contrôle à distance qui confère aux attaquants un contrôle quasi total sur le smartphone. Concrètement, les criminels peuvent :
– Surveillez l'écran en temps réel,
– Lecture des frappes au clavier et des mots de passe,
– intercepter le code de verrouillage de l'appareil,
– Lire les messages et ouvrir les applications ainsi que
– Effectuer les virements bancaires de manière indépendante.
La suppression de l'application est rendue encore plus difficile par le fait que des éléments invisibles bloquent activement certains boutons.
« Nous assistons à une nouvelle ère de logiciels malveillants pour Android », a déclaré Stefanko. « L’IA n’est plus seulement utilisée comme un mot à la mode, mais sert concrètement à contourner les mécanismes de protection. »
Le deuxième cas de ce type
PromptSpy n'est pas le premier cas où l'IA générative a été profondément intégrée à un code malveillant.
Suite à la découverte, en août 2025, du ransomware PromptLock, alimenté par l'IA, cette découverte marque le deuxième cas connu où des cybercriminels utilisent spécifiquement l'IA pour surmonter les barrières de sécurité techniques.
Des éléments présents dans le code source suggèrent que les développeurs travaillent dans un environnement sinophone.
Comment les utilisateurs Android peuvent se protéger
Même si la menace est technologiquement nouvelle, les mesures de sécurité classiques offrent toujours une protection fiable.
◉ Installez uniquement des applications provenant de sources officielles. Ceux qui utilisent exclusivement Google Play et ne téléchargent pas de fichiers APK depuis des sites web tiers bloquent la principale voie d'infection.
Soyez prudent avec les autorisations d'accessibilité. Si une application demande l'accès aux fonctionnalités d'accessibilité, soyez particulièrement sceptique. Ces autorisations permettent un accès étendu à l'appareil et sont régulièrement exploitées par des logiciels malveillants.
Effectuez des mises à jour système régulières. Les versions actuelles d'Android corrigent les failles de sécurité connues exploitées par les logiciels malveillants.
◉ Laissez Google Play Protect activé. Les appareils sur lesquels Play Protect est activé sont protégés contre les variantes connues de PromptSpy.
◉ En cas de suspicion d'infection : utilisez le mode sans échec. Toute personne suspectant une infection doit redémarrer son appareil en mode sans échec. Dans ce mode, les applications tierces sont désactivées et peuvent généralement être désinstallées.
ESET publie des détails techniques supplémentaires et des captures d'écran pour analyse sur son blog de sécurité officiel à l'adresse welivesecurity.com.
📰 Publier votre propre message ? ➡️ Réservez un communiqué de presse avec PR Agent...
Vous avez manqué les nouvelles ? Mises à jour quotidiennes sur les réseaux sociaux à @PRAgentMedia.
Depuis des années, d'innombrables personnes nous font confiance et utilisent nos magazines en ligne.
L'agence de relations publiques (Sierks Media) n'a pas de propriétaires multimillionnaires, et pourtant nous offrons tout notre contenu gratuitement.
Si vous appréciez notre travail, nous vous serions reconnaissants de votre soutien, quel qu'en soit l'ampleur.
➡️ Soutenez l'équipe éditoriale et invitez l'agent RP pour un café...
Sierks Media / © Photo : Daniel Romero, Unsplash
