Des chercheurs d’ESET ont identifié un malware Android inédit exploitant l’IA générative pour renforcer sa persistance. Baptisé PromptSpy, il s’appuie sur Gemini pour automatiser certaines actions malveillantes et pourrait, à ce stade, relever d’une preuve de concept.
Après la découverte de PromptLock, un ransomware Android piloté par l’IA, en août 2025, les chercheurs en cybersécurité d’ESET ont identifié un malware Android qui exploite l’IA générative pour assurer sa persistance. Une première pour un malware Android, relèvent les chercheurs.
Baptisé PromptSpy, il s’appuie sur Gemini pour piloter la manipulation malveillante de l’interface utilisateur. Il peut exfiltrer les données issues de l’écran de verrouillage, empêcher sa désinstallation, collecter des données sur l’appareil, réaliser des captures d’écran et enregistrer l’activité de l’écran au format vidéo. Dans le détail, Gemini fournit des instructions pour verrouiller l’application dans la liste des applications récentes, ce qui rend difficile sa fermeture ou sa suppression.
« L'objectif principal de PromptSpy est de déployer un module VNC afin de permettre aux opérateurs un accès distant complet au terminal compromis. Le malware abuse également des services d'accessibilité pour empêcher la désinstallation au moyen de superpositions invisibles, intercepte les données de l'écran de verrouillage et enregistre l'activité de l'écran. Les communications avec le serveur de Command & Control (C2) sont chiffrées en AES », analyse Lukáš Štefanko, chercheur chez ESET.
Preuve de concept
Les éléments observés par ESET suggèrent une campagne dont les motivations sont financières. Elle ciblerait, pour l’heure, principalement des utilisateurs en Argentine. Toutefois, le malware n’a pas été identifié dans la télémétrie d’ESET, ce qui laisse penser, selon les chercheurs, qu’il pourrait s’agir, à ce stade, d’une preuve de concept.
« Même si PromptSpy n'exploite Gemini que pour une fonctionnalité spécifique, ce cas illustre la manière dont l'intégration de l'IA peut rendre les malwares plus dynamiques. Elle offre aux cybercriminels la possibilité d'automatiser des actions qui seraient plus complexes à mettre en œuvre via des scripts traditionnels », souligne Lukáš Štefanko.
Pour l’heure, le malware est distribué sur un site dédié et n’a pas encore été diffusé sur le Google Play Store. ESET a d’ores et déjà partagé les résultats de ses recherches avec Google et assure que les utilisateurs Android sont protégés par Google Play Protect contre les variantes connues du malware.
