On pensait l’intelligence artificielle générative cantonnée aux assistants virtuels et aux outils de productivité. Mais elle intéresse aussi les cybercriminels. Le 19 février 2026, les chercheurs d’ESET ont révélé l’existence de PromptSpy, un malware Android qui s’appuie sur le modèle Gemini de Google pour s’adapter aux téléphones de ses victimes. Et ce n’est peut-être qu’un avant-goût de ce qui arrive. Pour comprendre ce qui rend PromptSpy inédit, il faut revenir aux limites des malwares classiques.

Habituellement, ces logiciels malveillants fonctionnent avec des scripts rigides : des coordonnées de clics prédéfinies, des boutons identifiés à l’avance. Problème : Android n’est pas uniforme. Chaque constructeur modifie l’interface, chaque mise à jour peut déplacer les menus. Résultat, les scripts se retrouvent vite obsolètes.

PromptSpy contourne cette faiblesse grâce à l’IA. Concrètement, il capture une image de l’écran de la victime et l’envoie à Gemini. Le modèle analyse les éléments visibles — boutons, textes, icônes — et renvoie des instructions personnalisées, comme « appuie ici » ou « fais glisser là ». Selon Lukas Stefanko, chercheur chez ESET, cette approche permet au malware de s’adapter automatiquement à n’importe quel smartphone ou version d’Android. Une souplesse inédite. L’objectif principal est la persistance : rester installé quoi qu’il arrive. PromptSpy se verrouille dans la liste des applications récentes d’Android, en s’épinglant avec un cadenas virtuel. Impossible alors de le fermer d’un simple geste. Le dialogue avec l’IA continue jusqu’à confirmation que le verrouillage est effectif.

Mais le cœur du danger réside ailleurs : dans un module VNC. Cette technologie permet aux attaquants de voir l’écran en temps réel et de contrôler le téléphone à distance, comme s’ils le tenaient en main. Le malware abuse aussi des services d’accessibilité — des fonctions prévues à l’origine pour aider les personnes en situation de handicap — afin d’empêcher la désinstallation grâce à des superpositions invisibles. Les chercheurs ont découvert ces zones cachées en activant un mode de débogage laissé dans le code. PromptSpy peut enregistrer l’écran, récupérer des codes PIN, lister les applications installées et transmettre ces données via des communications chiffrées. Pour le supprimer, il faut redémarrer en mode sans échec — un mode qui désactive les applications tierces — puis effacer l’application frauduleuse, baptisée MorganArg, qui imite une banque. Pour l’instant, aucune infection massive n’a été détectée. Mais pour ESET, le signal est clair : après PromptLock en 2025, l’IA devient un outil d’adaptation pour les malwares. Google a été alerté et Play Protect bloque les versions identifiées

Hébergé par Acast. Visitez acast.com/privacy pour plus d'informations.