Un virus capable d’analyser votre écran, d’apprendre vos actions et d’empêcher sa propre suppression circule désormais sur Android.
L’IA franchit désormais une étape inquiétante dans la cybersécurité mobile. Un nouveau malware baptisé PromptSpy vient d’être identifié sur Android par des chercheurs spécialisés. Cette menace utilise directement l’IA générative pour survivre et agir sur les smartphones.
Les chercheurs d’ESET ont découvert ce programme malveillant fin février 2026. PromptSpy intègre le modèle d’IA Gemini de Google dans son fonctionnement interne. Contrairement aux virus traditionnels, il analyse activement l’écran du téléphone ciblé. Ainsi, il adapte ses actions selon l’interface affichée.
Un malware capable d’analyser l’écran en temps réel
Les virus classiques reposaient jusqu’ici sur des scripts très rigides. Lorsque l’interface Android changeait, ces programmes perdaient souvent leurs repères. PromptSpy adopte une approche totalement différente grâce à l’IA.
Le malware capture régulièrement l’écran du smartphone infecté. Il transmet ensuite ces images à un système d’analyse basé sur l’IA. Celle-ci identifie boutons, icônes et menus visibles dans l’interface.
Elle renvoie ensuite des instructions précises pour agir sur l’appareil. Le virus peut ainsi cliquer, naviguer ou modifier des paramètres automatiquement. « L’IA analyse l’interface puis guide le malware dans chacune de ses actions », expliquent les chercheurs.
Un objectif prioritaire : rester installé sur le téléphone
PromptSpy poursuit avant tout un objectif simple mais redoutable. Le virus cherche constamment à empêcher sa propre suppression. Pour y parvenir, il dialogue avec l’IA intégrée dans son système.
Cette IA analyse l’interface Android afin de verrouiller l’application malveillante dans la vue multitâche. Ainsi, l’utilisateur ne peut plus fermer le programme normalement. La fermeture devient pratiquement impossible depuis l’interface standard.
Lorsque l’utilisateur tente de désinstaller l’application, le malware agit immédiatement. Il place une surcouche invisible sur les boutons du système. L’utilisateur croit appuyer sur les commandes mais aucune action réelle ne se produit.
Dans cette situation, la suppression classique devient inefficace. La seule solution consiste alors à redémarrer l’appareil en mode sans échec. Ce mode désactive les applications tierces et permet de retirer PromptSpy.
Un contrôle total du smartphone à distance
Une fois installé, PromptSpy active un module VNC discret dans le système. Cette fonctionnalité permet aux pirates d’observer l’écran du téléphone en direct. Ils peuvent également manipuler l’appareil à distance.
Les cybercriminels peuvent ainsi accéder à des informations sensibles stockées sur le smartphone. Les mots de passe, les données bancaires et les messages deviennent des cibles potentielles. « Le module VNC permet aux attaquants de contrôler l’appareil comme s’ils l’avaient en main », expliquent certains experts.
Les cybermenaces entrent dans une nouvelle phase
PromptSpy illustre une évolution profonde des cyberattaques modernes. Les logiciels malveillants deviennent désormais capables d’adaptation constante. Les antivirus traditionnels reposent souvent sur des signatures de virus connues.
Or, les nouvelles menaces modifient leur code pendant l’attaque. Cette technique, appelée polymorphisme, rend leur détection beaucoup plus difficile. Les systèmes de sécurité classiques peinent alors à reconnaître ces programmes changeants.
Certaines attaques deviennent même totalement autonomes grâce à l’IA. Des ransomwares récents agissent déjà comme des agents indépendants. Ils analysent l’appareil, identifient les fichiers importants et adaptent leurs stratégies.
