Un virus Android « piloté » par l’IA vient de faire son apparition. Découvert par les chercheurs d’ESET, PromptSpy s’appuie sur Google Gemini pour analyser en temps réel l’écran du smartphone, contourner les protections d’Android et résister à la désinstallation.
Les chercheurs d’ESET viennent de découvrir un malware inconnu, PromptSpy. Taillé pour pirater les smartphones Android, ce malware se distingue en exploitant l’intelligence artificielle générative pour mieux résister à la désinstallation. Selon les chercheurs, le virus marque un tournant inquiétant dans l’histoire des menaces qui planent sur les téléphones portables.
À lire aussi : Ce nouveau malware écrit et clique comme un humain pour passer inaperçu
Un malware qui se sert de Google Gemini
Jusqu’à aujourd’hui, les cybercriminels développaient leurs malwares de façon relativement rigide, avec des scripts, des instructions fixes, et des comportements globalement prévisibles. Avec PromptSpy, les logiciels malveillants sont entrés dans une toute nouvelle ère. Pour la première fois, un malware Android intègre un modèle d’IA générative directement dans la manière dont il fonctionne. Les pirates s’appuient en effet sur Gemini, l’assistant IA de Google, qui est de plus en plus détourné par les hackers chinois.
Concrètement, PromptSpy utilise Gemini pour analyser l’interface de l’appareil infecté en temps réel et recevoir des instructions sur mesure pour arriver à ses fins. Un malware classique peut ne pas fonctionner correctement sur tous les modèles de smartphones, car les interfaces varient d’un fabricant Android à l’autre. Avec l’IA générative, le logiciel malveillant s’adapte automatiquement, peu importe la version d’Android ou la surcouche utilisée par l’appareil.
« Le nombre potentiel de victimes augmente fortement, car le malware devient beaucoup plus flexible et compatible avec presque tous les appareils », résume Lukáš Štefanko, le chercheur d’ESET qui a découvert le virus.
Avec l’aide de Gemini, le virus cherche à se « verrouiller » dans la liste des applications récentes d’Android. En clair, le malware va activer une option native d’Android qui va afficher une icône cadenas sur la vignette de l’application, une fois que la liste apparaît à l’écran. Une fois verrouillée, l’application ne disparaît pas automatiquement de la liste quand vous en ouvrez d’autres, résiste aux fermetures d’apps groupées, et reste toujours active en arrière-plan, prête à fonctionner. Bref, vous ne pouvez plus fermer l’application malveillante, ce qui laisse au malware le champ libre pour faire tout ce qu’il veut.
« Même si PromptSpy n’exploite Gemini que pour une fonctionnalité spécifique, ce cas illustre la manière dont l’intégration de l’IA peut rendre les malwares plus dynamiques. Elle offre aux cybercriminels la possibilité d’automatiser des actions qui seraient plus complexes à mettre en œuvre via des scripts traditionnels », explique Lukáš Štefanko à 01net.
Si PromptSpy s’est installé sur votre téléphone, la désinstallation classique ne fonctionnera pas. Le malware bloque en effet les tentatives de désinstallation via des superpositions invisibles. Pour empêcher l’utilisateur de désinstaller l’application, le virus affiche au-dessus de l’écran des éléments invisibles qui vous empêchent de cliquer là où vous voulez. Concrètement, quand vous allez dans les paramètres et que vous essayez de toucher le bouton « Désinstaller », le malware dégaine une superposition transparente exactement à l’emplacement du bouton. De facto, la désinstallation ne se lance pas.
Pour s’en défaire, il faut impérativement passer par le mode sans échec d’Android. Une fois ce mode activé, les applications tierces sont désactivées et peuvent être désinstallées. Pour activer le mode, appuyez longuement sur le bouton d’alimentation, puis longuement sur sur Éteindre, puis validez le Mode sans échec. Évidemment, la procédure varie en fonction des marques.
À lire aussi : Piratés à la sortie de l’usine – des milliers de smartphones ont été infectés par un malware chinois
L’arsenal de PromptSpy
Au-delà de ce mécanisme de persistance, le malware PromptSpy dispose d’un arsenal impressionnant. Il se distingue notamment par l’utilisation d’un module de prise de contrôle à distance. Celui-ci permet au pirate de prendre le contrôle complet de votre smartphone à distance, comme s’il tenait physiquement votre téléphone entre ses mains. Ce n’est pas tout. Le virus est aussi capable d’intercepter vos données sur l’écran de verrouillage, compromettant potentiellement votre code PIN ou le contenu de vos notifications. Il peut également faire des captures d’écran à votre insu ou collecter des informations sur votre appareil, comme le modèle de téléphone, la version du système, ou la liste des applications installées.
Pour se propager, le malware se dissimule dans le code d’applications bancaires factices, indique ESET. Il se cache notamment dans une application intitulée MorganArg, avec une icône évoquant la banque JPMorgan Chase. Cette application s’adresse aux internautes qui résident en Argentine. Les indices linguistiques présents dans le code pointent d’ailleurs vers une campagne ciblant principalement les utilisateurs argentins.
Bonne nouvelle, le logiciel malveillant ne s’est pas glissé sur le Play Store. Pour le moment, le malware circule uniquement sous la forme d’un fichier APK partagé sur un site web dédié. Tout porte à croire que le virus est encore au stade du prototype et qu’il n’a pas encore été massivement déployé sur Internet. ESET a immédiatement partagé ses découvertes avec Google. Par le biais du Play Protect, la solution de sécurité par défaut d’Android, les utilisateurs sont désormais protégés contre toutes les variantes du malware.
Ce malware n’est pas un cas isolé. D’autres virus s’appuient de plus en plus sur l’intelligence artificielle générative pour arriver à leurs fins. L’an dernier, ESET a d’ailleurs identifié le premier ransomware exploitant l’IA au cours de ses attaques, à savoir PromptLock. Google a aussi débusqué d’autres maliciels qui se servent de Gemini en temps réel durant une intrusion, comme PromptFlux.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.