Des chercheurs d’ESET ont découvert PromptSpy, un malware visant les smartphones Android en intégrant Gemini dans sa boucle d’exécution : plutôt que de suivre un script fixe, il interroge le modèle d’intelligence artificielle de Google en cours de fonctionnement pour adapter dynamiquement son comportement à l’interface de chaque appareil infecté. Cette architecture marque une rupture avec les logiciels malveillants à instructions codées en dur, plus faciles à anticiper et à contrer.
Jusqu’ici, l’efficacité d’un malware sur Android dépendait d’un code pensé pour des modèles d’appareils spécifiques. En déléguant sa prise de décision à Gemini, qui reçoit une description de l’écran visible et formule la prochaine action à entreprendre, PromptSpy se veut plus fort. Il démontre au passage que des outils d’IA publics et gratuits suffisent à mettre en place une faculté de s’adapter jusqu’ici inédite dans les logiciels malveillants.
PromptSpy fonctionne également comme un logiciel espion à part entière. Il embarque un module d’accès à distance et peut, une fois les permissions accordées, collecter la liste des applications installées et les identifiants de l’écran de verrouillage. Le malware complique volontairement sa suppression en perturbant les tentatives de désactivation.
Sa diffusion reste difficile à cerner : ESET n’a pas encore détecté PromptSpy dans sa télémétrie, laissant ouverte la question d’une propagation active. Les échantillons analysés étaient cependant distribués via un domaine dédié et se faisaient passer pour une grande banque, ce qui dépasse le stade purement expérimental.
Google vient rassurer les utilisateurs
ESET avait transmis ses conclusions à Google avant la publication. Un porte-parole de la firme a depuis répondu auprès d’Android Authority en indiquant :
Sur la base de notre détection actuelle, aucune application contenant ce logiciel malveillant n’a été trouvée sur le Google Play Store. Les utilisateurs d’Android sont automatiquement protégés contre les versions connues de ce malware par Google Play Protect, actif par défaut sur les appareils Android disposant des services Google Play. Google Play Protect peut avertir les utilisateurs ou bloquer les applications connues pour leur comportement malveillant, même lorsque ces applications proviennent de sources extérieures au Play Store.
Le risque pour les utilisateurs Android demeure limité à ce stade, les protections actives couvrant les versions connues du malware.
