Une nouvelle menace pour les utilisateurs d’Android, baptisée PromptSpy, tire parti du modèle d’intelligence artificielle Gemini de Google pour s’implanter sur les smartphones. Les experts en sécurité d’ESET tirent la sonnette d’alarme concernant ce logiciel malveillant, qui vise en premier lieu les applications bancaires.
Les chercheurs ont étudié cette malware durant les 19 et 20 février. PromptSpy est le premier Trojan Android connu à exploiter l’IA générative pour mener à bien ses activités malveillantes. Ce développement marque un tournant : les cybercriminels renforcent leur logiciel, le rendant plus résistant et difficile à supprimer.
Comment l’IA rend la malware indestructible
La clé de cette innovation réside dans le détournement de Google Gemini. L’intelligence artificielle scrute l’interface utilisateur de l’appareil infecté et élabore ensuite des instructions détaillées pour ancrer l’application malveillante dans la liste des dernières applications utilisées. Ce mécanisme, souvent symbolisé par une icône de cadenas, empêche la fermeture simple de l’application. Ainsi, elle perdure même après un redémarrage ou un nettoyage de la mémoire. Pour fonctionner pleinement, PromptSpy nécessite toutefois un accès aux services d’accessibilité d’Android, une permission qu’elle réclame de manière insistante après son installation.
Les dangers pour les données bancaires
Bien que la composante IA serve principalement à garantir la survie de la malware, les capacités supplémentaires de PromptSpy représentent une menace sérieuse pour toutes les applications financières. Le Trojan est capable d’enregistrer l’écran, de prendre des captures d’écran et de contrôler à distance l’appareil.
Cette fonctionnalité permet aux attaquants de récupérer directement des identifiants, mots de passe et codes de validation à deux facteurs. En arrière-plan, ils peuvent ainsi initier des transactions ou consulter des soldes sans être détectés. La combinaison de sa persistance et de ses capacités d’espionnage rend cette malware particulièrement redoutable.
Comment se protéger
La règle d’or est de ne télécharger des applications qu’à partir de sources fiables, telles que le Google Play Store. Des malware comme PromptSpy se propagent souvent via des magasins d’applications non officiels ou des sites internet manipulés.
Il est également crucial de remettre en question chaque demande d’autorisation. L’accès aux services d’accessibilité ne doit être accordé qu’à des applications en lesquelles on a une confiance absolue. ESET a partagé ses résultats avec Google, et il semblerait que les appareils dotés de Google Play Protect soient protégés contre les variantes connues.
Cependant, PromptSpy illustre une évolution préoccupante. Les cybercriminels intègrent désormais des outils d’IA directement dans leurs attaques, ce qui exige une vigilance accrue tant des utilisateurs que des fournisseurs de sécurité.
Points à retenir
- PromptSpy représente une nouvelle génération de malware Android, exploitant l’IA pour se dissimuler et résister aux tentatives de suppression.
- Une attention particulière doit être accordée aux permissions demandées par les applications après installation.
- Le téléchargement d’applications doit se faire uniquement via des sources reconnues et fiables.
- Le renforcement des dispositifs de sécurité, comme Google Play Protect, peut limiter les risques.
- Les utilisateurs doivent rester informés sur les menaces émergentes liées à l’utilisation croissante de l’IA dans les cyberattaques.