Veille numérique – Malware Android PromptSpy
Un rapport publié le 19 février 2026 révèle l’apparition d’un nouveau malware Android baptisé PromptSpy. Sa particularité : l’exploitation de l’intelligence artificielle Gemini pour automatiser et optimiser ses actions malveithanneuses.
Rôle de Gemini dans l’attaque ➤ Analyse intelligente de l’écran
Gemini est utilisé pour analyser en temps réel l’écran de la victime. Le malware transmet à l’IA une description complète de l’interface affichée, incluant :
- Le texte visible
- La nature des éléments (boutons, champs, menus…)
- Leur position exacte à l’écran
Gemini traite ces informations et renvoie des instructions précises :
- Gestes à effectuer (clic, balayage, appui long)
- Coordonnées exactes à cibler
Cette interaction permet au malware d’agir de manière autonome et contextuelle.
Maintien de l’application active : un enjeu clé ➤ Contournement des optimisations Android
Sur Android, le système ferme automatiquement les applications restées trop longtemps en arrière-plan afin d’optimiser les ressources.
PromptSpy utilise Gemini pour :
- Vérifier si l’application infectée est toujours active
- S’assurer qu’elle reste dans la liste des applications récentes
- Relancer les actions nécessaires si elle est fermée
Le malware conserve l’historique des échanges avec l’IA. Cela permet à Gemini de comprendre le contexte d’une interaction à l’autre et d’ajuster ses instructions. Le processus est répété jusqu’à ce que l’IA confirme que l’application est bien verrouillée ou maintenue active.
Objectif principal : établir un contrôle à distance
Le principal défi de PromptSpy est de rester actif suffisamment longtemps pour :
- Installer un module de contrôle à distance (type VNC)
- Établir un pont de commande entre l’appareil infecté et l’attaquant
Une fois ce contrôle établi, l’attaquant peut piloter le smartphone à distance.
Capacités d’espionnage avancées
Au-delà du simple contrôle visuel, PromptSpy dispose de fonctionnalités d’espionnage étendues :
- Capture des mots de passe saisis (y compris sur l’écran de verrouillage)
- Enregistrement vidéo de l’activité écran
- Inventaire complet des applications installées
Cela en fait un outil de cyberespionnage particulièrement sophistiqué.
Mode de diffusion
Le rapport indique que :
- Le malware n’a jamais été diffusé via le Google Play Store
- Il a circulé via un faux site web bancaire
- La campagne reste de portée limitée
Les chercheurs estiment qu’il pourrait s’agir d’un prototype destiné à tester une nouvelle approche de cyberespionnage Android basée sur l’intelligence artificielle.
📌 Points clés à retenir 📌
- Utilisation inédite d’une IA pour piloter dynamiquement un malware
- Contournement intelligent des mécanismes de mise en veille Android
- Objectif : prise de contrôle à distance et espionnage complet
- Diffusion limitée via phishing bancaire