PromptSpy marque une étape dans la cybercriminalité mobile avec un malware Android qui exploite Gemini pour rester installé. Cette utilisation de l’IA générative transforme PromptSpy en menace capable de s’adapter à de nombreux smartphones.
L’équipe ESET Research met au jour PromptSpy, une famille malveillante Android avec une particularité rare : un recours direct à l’IA générative dans son exécution. Ici, l’outil n’alimente ni un phishing ni un texte, mais une fonction très précise liée à la survie du malware. Le code exploite Gemini afin d’interpréter l’écran du téléphone infecté et de guider des actions sur l’interface. Son objectif ? Ne pas disparaître.
Une persistance pilotée par l’IA sur l’interface du téléphone
Selon ESET, PromptSpy utilise Gemini pour analyser la vue multitâche d’Android et produire des consignes adaptées au modèle du smartphone, à la surcouche du fabricant et à la version du système. Le but consiste à “verrouiller” l’application malveillante dans la liste des apps récentes. C’est une option qui rend plus difficile sa fermeture par l’utilisateur ou par le système. ESET précise que le modèle ainsi que le prompt sont intégrés au code. Le changement à distance est impossible, ce qui limite l’outil à cette fonction de persistance.
« Avec l’IA générative, les cybercriminels peuvent créer des versions capables de s’adapter à presque tous les appareils », alerte Lukáš Štefanko, chercheur chez ESET. Il souligne le risque d’une compatibilité accrue sur l’écosystème Android.
VNC au centre, contrôle à distance en ligne de mire
La finalité de PromptSpy reste classique pour une menace mobile. L’installation d’un module VNC donne aux opérateurs un accès distant complet au terminal compromis. Autour de ce pilier, ESET décrit un arsenal de fonctions intrusives : récupération de données visibles sur l’écran de verrouillage, collecte d’informations système, captures d’écran, vidéo de l’activité à l’écran.
Il y a aussi le blocage de désinstallation via des abus des services d’accessibilité et des superpositions invisibles. Les échanges avec l’infrastructure de commande et contrôle reposent sur un chiffrement AES, indique le chercheur.
Diffusion ciblée et pistes vers l’Argentine
Les indices linguistiques et la mise en scène de l’app orientent l’enquête vers une campagne à but financier qui vise surtout l’Argentine. PromptSpy circule via un site dédié, sans passage par Google Play. L’application se présente sous le nom MorganArg, avec une icône qui évoque Morgan Chase, et le nom apparaît aussi dans une version en cache du site de diffusion.
ESET a partagé ses éléments avec Google via l’App Defense Alliance et rappelle que Google Play Protect, actif par défaut, couvre les variantes connues. Pour retirer l’infection malgré le blocage de désinstallation, ESET recommande un redémarrage en mode sans échec. Il faut réaliser une suppression via les réglages Android, section Applications, sur l’entrée MorganArg.
Article basé sur un communiqué de presse reçu par la rédaction.
