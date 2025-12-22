 Se connecter 
PromptSpy, premiÃ¨re menace Android utilisant l'IA gÃ©nÃ©rative, dÃ©couverte dâ€™ESET Research
PubliÃ© le 20/02/2026 Dans Press Releases
le 20 fÃ©vrier 2026 â€” Les chercheurs d'ESET ont dÃ©couvert PromptSpy, le premier malware Android connu utilisant l'IA gÃ©nÃ©rative dans son flux d'exÃ©cution pour assurer sa persistance. C'est la premiÃ¨re fois que l'IA gÃ©nÃ©rative est utilisÃ©e ainsi. ESET a nommÃ© cette famille de malwares PromptSpy, car les attaquants utilisent un modÃ¨le d'IA (Gemini de Google) pour manipuler l'interface utilisateur Ã  des fins malveillantes. Le maliciel capture les donnÃ©es de l'Ã©cran de verrouillage, bloque les tentatives de dÃ©sinstallation, collecte des informations sur l'appareil, prend des captures d'Ã©cran, enregistre en vidÃ©o l'activitÃ© de l'Ã©cran et bien plus encore. AprÃ¨s PromptLock, le premier cas connu de ranÃ§ongiciel pilotÃ© par l'IA en aoÃ»t 2025, câ€™est le deuxiÃ¨me maliciel basÃ© sur lâ€™IA dÃ©couvert par ESET Research.

D'aprÃ¨s la localisation linguistique et les vecteurs de distribution observÃ©s lors de l'analyse, cette campagne semble motivÃ©e par des considÃ©rations financiÃ¨res et cible en premier lieu les utilisateurs argentins. PromptSpy n'a pas encore Ã©tÃ© dÃ©tectÃ© dans la tÃ©lÃ©mÃ©trie d'ESET, ce qui indiquerait qu'il ne s'agit encore que d'un concept.

Bien que l'IA gÃ©nÃ©rative ne soit dÃ©ployÃ©e que dans une partie mineure du code de PromptSpy â€” celle qui assure sa persistance â€” elle a un impact important sur l'adaptabilitÃ© du maliciel. Plus prÃ©cisÃ©ment, Gemini est utilisÃ© pour fournir Ã  PromptSpy des instructions dÃ©taillÃ©es sur la faÃ§on de Â« verrouiller Â», c'est-Ã -dire d'Ã©pingler, l'appli malveillante dans la liste des applis rÃ©centes (souvent reprÃ©sentÃ©e par une icÃ´ne de cadenas dans le multitÃ¢che de nombreux lanceurs Android), l'empÃªchant d'Ãªtre facilement fermÃ©e par le systÃ¨me. Le modÃ¨le d'IA et les instructions sont prÃ©dÃ©finis dans le code et ne peuvent Ãªtre modifiÃ©s.

Â« Comme les maliciels Android se basent souvent sur la navigation via l'interface utilisateur, l'utilisation de l'IA gÃ©nÃ©rative permet aux criminels de s'adapter Ã  presque tous les appareils, configurations ou versions de systÃ¨me d'exploitation, ce qui augmente fortement le nombre de victimes potentielles Â», explique LukÃ¡Å¡ Å tefanko, le chercheur dâ€™ESET qui a dÃ©couvert PromptSpy. Â« La principale fonction de PromptSpy est dâ€™installer un module VNC intÃ©grÃ©, offrant aux opÃ©rateurs un accÃ¨s Ã  distance Ã  l'appareil de la victime. Ce maliciel Android exploite aussi les services d'accessibilitÃ© pour bloquer la dÃ©sinstallation avec des superpositions invisibles, capturer les donnÃ©es de l'Ã©cran de verrouillage et enregistrer une vidÃ©o de l'activitÃ© de l'Ã©cran. Il communique avec son serveur de commande et de contrÃ´le via un chiffrement AES Â», ajoute Å tefanko.

PromptSpy est distribuÃ© par un site dÃ©diÃ© et n'a jamais Ã©tÃ© disponible sur Google Play. Ã‰tant partenaire de l'App Defense Alliance, ESET a partagÃ© ses conclusions avec Google. Les utilisateurs Android sont automatiquement protÃ©gÃ©s contre les versions connues de ce maliciel par Google Play Protect, activÃ© par dÃ©faut sur les appareils Android disposant des services Google Play.
PromptSpy n'utilise Gemini que dans une de ses fonctionnalitÃ©s, il permet aux criminels d'automatiser des actions qui seraient normalement plus difficiles Ã  rÃ©aliser avec des scripts traditionnels Â», explique Å tefanko.

L'appli, nommÃ©e MorganArg et dont l'icÃ´ne semble inspirÃ©e par Morgan Chase, est probablement un maliciel usurpant l'identitÃ© de cette banque. MorganArg, probablement l'abrÃ©viation de Â« Morgan Argentina Â», apparaÃ®t aussi comme nom du site mis en cache, suggÃ©rant un ciblage rÃ©gional.
Comme PromptSpy bloque sa dÃ©sinstallation en superposant des Ã©lÃ©ments invisibles Ã  l'Ã©cran, la seule faÃ§on de le supprimer est de redÃ©marrer l'appareil en mode sans Ã©chec. Dans ce mode, les applis tierces sont dÃ©sactivÃ©es et peuvent Ãªtre dÃ©sinstallÃ©es normalement. Pour accÃ©der au mode sans Ã©chec, il faut maintenir le bouton d'alimentation enfoncÃ©, puis appuyer longuement sur Â« Ã‰teindre Â» et confirmer le redÃ©marrage en mode sans Ã©chec (la procÃ©dure peut varier selon l'appareil et le fabricant). Une fois lâ€™appareil redÃ©marrÃ© en mode sans Ã©chec, l'utilisateur peut accÃ©der Ã  ParamÃ¨tres â†’ Applications â†’ MorganArg et dÃ©sinstaller l'appli sans problÃ¨me.

Pour une analyse plus dÃ©taillÃ©e de PromptSpy, consultez le dernier blog d'ESET PromptSpy ushers in the era of Android threats using GenAI , sur www.welivesecurity.com. Suivez ESET Research sur Twitter (aujourdâ€™hui connu sous le nom de X), BlueSky et Mastodon pour les derniÃ¨res actualitÃ©s.

A propos dâ€™ESET
ESETÂ® propose une cybersÃ©curitÃ© de pointe pour prÃ©venir les attaques avant qu'elles ne se produisent. En combinant la puissance de l'IA et l'expertise humaine, ESET anticipe les cybermenaces mondiales Ã©mergentes, connues et inconnues, sÃ©curisant les entreprises, les infrastructures critiques et les particuliers. Qu'il s'agisse de protection de terminaux, du cloud ou dâ€™appareils mobiles, ses solutions et services cloud, basÃ©s sur l'IA, sont hautement efficaces et dâ€™une utilisation facile. La technologie ESET comprend une dÃ©tection et une rÃ©ponse robustes, un chiffrement ultra-sÃ©curisÃ© et une authentification multifacteur. GrÃ¢ce Ã  une dÃ©fense en temps rÃ©el 24/7 et Ã  un support local performant, ESET assure la sÃ©curitÃ© des utilisateurs et la continuitÃ© des activitÃ©s des entreprises. L'Ã©volution constante du paysage numÃ©rique exige une approche progressive de la sÃ©curitÃ©. ESET est engagÃ© dans une recherche de pointe et une veille stratÃ©gique sur les menaces, avec le soutien de ses centres de R&D et un solide rÃ©seau de partenaires au niveau mondial. Pour plus d'informations, rendez-vous sur www.eset.com/ ou suivez nos rÃ©seaux sociaux, podcasts, blogs et https://www.est.com/be-fr/
