ESET découvre PromptSpy, premier malware Android utilisant Gemini pour résister à la désinstallation

ESET a identifié PromptSpy, un malware Android qui exploite Google Gemini pour analyser l’écran en temps réel et s’incruster durablement sur les appareils infectés. Découvert par les chercheurs de cette société slovaque de cybersécurité, ce programme malveillant marque la première utilisation connue d’une intelligence artificielle générative dans le flux d’exécution d’un malware sous Android. Il cible notamment les utilisateurs argentins, présente une évolution des menaces mobiles, après PromptLock, un ransomware assisté par l’IA repéré par ESET en août 2025. Contrairement aux scripts rigides des malwares traditionnels, PromptSpy interroge Gemini, l’assistant IA de Google, avec des invites prédéfinies pour obtenir des instructions précises. Celles-ci permettent de naviguer dans l’interface utilisateur, de maintenir l’application épinglée dans la liste des apps récentes et d’éviter ainsi d’être supprimée ou fermée par le système. Outre sa persistance, PromptSpy déploie un module VNC (Virtual Network Computing, un protocole de bureau à distance) pour un accès distant complet. Les attaquants peuvent alors voir l’écran, effectuer des actions, capturer les données d’écran de verrouillage, bloquer les tentatives de désinstallation, collecter des informations sur l’appareil, prendre des captures d’écran ou enregistrer l’activité en vidéo. Lukas Stefanko, chercheur chez ESET, souligne que cette approche élargit le bassin de victimes en s’adaptant à divers modèles d’appareils et versions d’Android. Google n’a pas encore commenté publiquement cette exploitation de son IA. Les experts en cybersécurité appellent les utilisateurs Android à vérifier leurs apps récentes et à utiliser des outils antivirus fiables face à ces menaces de plus en plus sophistiquées.