Les chercheurs d’ESET ont découvert un malware Android qui exploite l’IA générative de Google en temps réel pour s’adapter à n’importe quel smartphone. Le virus s’appelle PromptSpy, et il marque un tournant dans les menaces qui planent sur les smartphones Android.
Jusqu’ici, les malwares Android suivaient des instructions précises avec des scripts codés. PromptSpy est plus redoutable puisqu’il utilise Gemini, l’IA de Google qui a lancé Nano Banana 2. Le virus a donc une “personnalité” pour décider quoi faire sur le smartphone infecté.
Gemini est utilisé par les pirates pour contrôler votre smartphone
En gros, le malware envoie à Gemini une description de l’écran en format XML. On parle de tous les éléments visibles, leurs positions, leurs textes et leurs coordonnées. Gemini analyse ces données et renvoie des instructions en JSON qui indiquent où taper, où glisser et quoi faire. Le malware exécute ces gestes via les services d’accessibilité d’Android, récupère une copie de l’écran, et renvoie le tout à Gemini en boucle. Le processus se répète jusqu’à ce que l’IA confirme que l’objectif est atteint.
L’objectif en question, c’est de verrouiller le virus dans la liste des applications récentes. Sur Android, il est possible d’épingler une application dans le multitâche pour qu’elle ne disparaisse pas quand on ferme les autres. Le malware utilise Gemini pour trouver comment activer cette option, peu importe le modèle de smartphone ou la surcouche constructeur.
C’est bien le problème, puisque la méthode pour épingler une application varie d’un constructeur à l’autre. Là où un script classique échouerait sur certains modèles, PromptSpy s’adapte automatiquement. « Le nombre de victimes potentielles explose puisque le malware fonctionne sur presque tous les appareils » explique Lukáš Štefanko, le chercheur d’ESET qui a découvert le virus.
Quand verrouillée, l’application ne disparaît plus du multitâche. Elle résiste aux fermetures groupées et reste active en arrière-plan. Le virus a le champ libre pour attaquer. PromptSpy embarque un module VNC qui donne au pirate le contrôle total du smartphone. Le tout à distance, comme s’il le tenait entre ses mains. Le malware intercepte aussi les données de l’écran de verrouillage, ce qui compromet le code PIN, le mot de passe, etc.
Il enregistre l’écran en vidéo, prend des captures, et collecte la liste des applications installées. « PromptSpy n’exploite Gemini que pour une seule de ses capacités, mais ça suffit à montrer comment l’IA rend les virus plus dynamiques » ajoute Lukáš Štefanko.
Une application impossible à supprimer, sauf avec cette méthode
La suppression à l’ancienne ne fonctionne pas. Quand l’utilisateur tente de désinstaller l’application ou de désactiver les services d’accessibilité, le malware affiche des rectangles transparents au-dessus des boutons « Désinstaller », « Arrêter » ou « Effacer ». Ces éléments sont totalement invisibles à l’écran. L’utilisateur tape sur le bouton, mais c’est le rectangle invisible qui reçoit le clic. Rien ne se passe. C’est une technique redoutable, d’autant que rien ne trahit la superposition à l’écran.
Pour s’en débarrasser, la seule solution est de redémarrer le smartphone en mode sans échec. Dans ce mode, toutes les applications tierces sont désactivées et le malware ne bloque plus rien. Il suffit alors d’aller dans les paramètres et de désinstaller l’application. La procédure varie selon les constructeurs. Mais en général, il faut maintenir le bouton d’alimentation, puis faire un appui long sur « Éteindre » pour voir apparaître l’option « Mode sans échec ».
Pour se propager, PromptSpy se cache dans une fausse application bancaire appelée MorganArg qui imite celle de JPMorgan Chase. Le virus ne s’est jamais glissé sur le Google Play Store et circule uniquement sous forme de fichier APK via un site.
ESET a de suite partagé ses découvertes avec Google. Un porte-parole de la firme de Mountain View a confirmé qu’aucune application avec PromptSpy ne se trouve sur le Play Store. Les utilisateurs Android sont automatiquement protégés contre les versions connues du virus grâce à Google Play Protect. Pour rappel, cette solution de sécurité activée par défaut sur les appareils avec les services Google Play.
L’IA, nouvelle technologie utilisée par les pirates
PromptSpy n’est pas un cas isolé. ESET avait déjà identifié PromptLock en août 2025, le premier rançongiciel géré par l’IA. Google a aussi repéré d’autres virus qui utilisent Gemini en temps réel, comme PromptFlux. L’IA générative n’est plus seulement un outil de productivité, c’est aussi un nouveau terrain de jeu pour les pirates.
Et le fait qu’un malware Android exploite des techniques jamais vues pour contourner les protections montre que les menaces sont redoutables. La bonne nouvelle, c’est que Play Protect couvre déjà les versions connues de PromptSpy. Mais les prochaines versions pourraient aller beaucoup plus loin.
ESET attribue le développement de PromptSpy à des pirates chinois motivés par l’appât du gain. La naissance de PromptSpy après PromptLock confirme une tendance dans le milieu des cybercriminels. Les pirates adoptent l’IA générative pour piloter des attaques en temps réel. La technologie n’est plus seulement utilisée pour créer du texte dans plusieurs langues lors du hameçonnage ou imiter la voix d’un proche.
- ESET a découvert PromptSpy, un malware Android qui s’appuie sur Gemini en temps réel pour piloter ses actions à l’écran.
- Il utilise Gemini pour activer l’épinglage dans le multitâche afin de rester actif, quel que soit le modèle de smartphone ou la surcouche.
- Google affirme qu’aucune application liée à PromptSpy n’est sur le Play Store et que Google Play Protect bloque déjà les versions connues.
Source : ESET Research
Réagissez à cet article !