Malware Android PromptSpy : Gemini utilisé pour verrouiller l’app dans le multitâche et activer un module VNC espion

PromptSpy, c’est le genre de découverte qui te rappelle que la frontière entre “outil pratique” et “arme” est fine. ESET dit avoir identifié le premier malware Android connu qui abuse d’une IA générative dans son exécution pour gagner en persistance. Pas pour écrire des poèmes, non: pour comprendre ce qui s’affiche à l’écran et exécuter le bon geste au bon endroit, même si ton Android n’a pas le même launcher que celui du voisin.

PromptSpy détourne Gemini sur Android: le malware qui s’accroche aux applis récentes et complique la défense

Le truc, c’est que la partie “GenAI” du code n’est pas la plus grosse. Mais elle change la donne: au lieu de scripts fragiles basés sur des coordonnées fixes, PromptSpy s’appuie sur Gemini pour obtenir des instructions étape par étape et se “verrouiller” dans la liste des applis récentes. Résultat: plus dur à virer, plus dur à tuer, et une démonstration très concrète de ce que l’IA apporte aux attaquants.

Pourquoi PromptSpy casse les vieilles recettes du malware Android

Depuis des années, beaucoup de malwares Android font la même tambouille: ils automatisent des actions à l’écran avec des “recettes” rigides. Tap à telle coordonnée, scroll de tant de pixels, clique sur tel sélecteur d’interface. Sauf que dans la vraie vie, Android, c’est un zoo: versions différentes, surcouches constructeur, launchers, tailles d’écran, menus déplacés. La moindre variation et ton automatisation part en fumée.

PromptSpy arrive avec une idée simple: au lieu de supposer où se trouve un bouton, il demande à Gemini d’interpréter ce qu’il voit à l’écran et de lui dire quoi faire. ESET parle d’une manipulation d’interface “context-aware”, guidée par un modèle génératif. Le malware n’improvise pas un prompt à la volée: le modèle et le prompt sont prédéfinis dans le code, et ne sont pas modifiables. Mais même avec ce cadre, ça rend l’automatisation beaucoup plus tolérante aux différences.

Le cas d’usage mis en avant est parlant: se rendre persistant en restant “épinglé” dans les applis récentes, via le geste “lock app in recent apps”. Sur certains téléphones, tu as un petit cadenas dans la vue multitâche. Sur d’autres, c’est un menu contextuel, un appui long, ou une option planquée. Les scripts classiques détestent ce genre de variations. Là, Gemini sert de guide, et PromptSpy exécute les étapes.

J’ai demandé à un admin mobile en entreprise – “Thomas”, 39 ans, qui gère un parc Android hétérogène – ce qui lui fait le plus peur dans ce scénario. Sa réponse est sèche: “On a déjà du mal à standardiser les interfaces, alors si un malware sait s’adapter à la diversité des modèles, tu multiplies le nombre de terminaux attaquables.” Ce n’est pas de la science-fiction, c’est juste une automatisation qui devient moins bête.

Gemini utilisé pour “verrouiller” l’app dans le multitâche

Le point précis qui fait entrer PromptSpy dans la case “premier malware Android connu à utiliser une IA générative” est là: Gemini est utilisé pour guider la manipulation de l’interface afin d’exécuter un geste et rester accroché. L’objectif est de faire en sorte que l’app malveillante soit “locked”, souvent avec une icône de cadenas, donc difficile à balayer hors de la liste des applis récentes, et moins simple à fermer pour le système.

Ce détail a l’air anodin si tu n’as jamais mis les mains dans l’analyse de malwares mobiles. Mais c’est un endroit très rentable pour un attaquant: si l’app survit, elle peut continuer à tourner, à relancer ses modules, à gêner les tentatives de nettoyage. ESET souligne que la gestuelle varie selon les appareils et les constructeurs. Du coup, automatiser ça “à l’ancienne” est pénible. Avec Gemini, PromptSpy récupère des instructions étape par étape adaptées à ce qui est affiché.

Un point important: on ne parle pas d’un malware qui “discute” librement avec un modèle pour inventer une stratégie. Le modèle et le prompt sont codés en dur. Ça limite la créativité de l’attaquant, mais ça suffit pour une tâche ciblée: interpréter l’écran et guider une séquence d’actions. Et dans le monde Android, cette capacité à survivre aux différences d’UI, c’est déjà un gros gain d’efficacité.

J’ai vu passer des campagnes où le support “victime” était le maillon faible: l’utilisateur ne sait pas comment fermer une app, ou il pense l’avoir fermée. Là, même un utilisateur un peu débrouillard peut se faire avoir si l’app se “punaise” dans les récents et refuse de disparaître. Tu ajoutes à ça des techniques de blocage de désinstallation, et tu obtiens un cocktail où la friction est toujours du mauvais côté: celui de la défense.

Le vrai but reste le VNC: prise de contrôle et espionnage

Il ne faut pas se tromper de film: la GenAI n’est pas le “payload” principal. ESET décrit que l’objectif majeur de PromptSpy est de déployer un module VNC (Virtual Network Computing) intégré. En clair, donner aux opérateurs une vue sur l’écran de la victime et la capacité de faire des actions à distance. C’est le genre de brique qui transforme un téléphone en poste pilotable, pratique pour fouiller, manipuler, installer, ouvrir des applis.

À côté de ça, le malware est décrit comme capable de collecter des infos sur l’appareil, de faire des captures d’écran, et même d’enregistrer l’activité de l’écran en vidéo. Il peut aussi capturer des données liées à l’écran de verrouillage. Pour un attaquant, c’est une mine: tu vois ce que la personne fait, tu récupères des éléments affichés, tu peux observer des codes, des notifications, des écrans d’authentification mal protégés.

Le panel de fonctions évoqué inclut aussi des tentatives pour bloquer la désinstallation. ESET parle d’un abus des services d’accessibilité, avec des overlays invisibles pour empêcher l’utilisateur de retirer l’app. C’est une vieille ruse sur Android: tu mets une couche transparente au-dessus du bouton “Désinstaller”, et la personne clique dans le vide. Sur le papier, c’est “juste” une nuisance. Dans les faits, c’est ce qui fait durer une infection.

Et puis tu as la partie réseau: ESET précise que la communication avec le serveur de commande et contrôle se fait avec chiffrement AES. Ce n’est pas un gadget. Ça complique l’inspection, ça rend l’analyse plus lente, et ça évite que n’importe quel intermédiaire lise les ordres envoyés au malware. Bref, PromptSpy coche beaucoup de cases classiques… avec une petite brique GenAI au bon endroit pour améliorer la survie.

Distribution hors Google Play, mais une leçon sur l’écosystème Android

Point rassurant pour une fois: PromptSpy n’a jamais été proposé sur Google Play. ESET indique qu’il est distribué via un site web dédié. Ça réduit l’exposition de masse, parce que l’utilisateur doit sortir du cadre, télécharger un APK, autoriser l’installation depuis une source externe. Dans la vraie vie, ça arrive tout le temps, surtout avec des apps “gratuites”, des versions modifiées, ou des téléchargements poussés par de la pub.

Ça dit aussi quelque chose sur la stratégie des attaquants. Plutôt que de se battre contre les contrôles de la boutique officielle, ils construisent une vitrine à eux, avec un discours qui rassure, des captures d’écran, parfois un faux support. Je ne vais pas inventer le thème exact du site, mais le schéma est connu: tu fais croire à une app utile, tu pousses à activer des autorisations, et tu récupères la main. L’IA n’est pas nécessaire pour piéger, elle sert après.

Autre élément concret: ESET a partagé ses conclusions avec Google dans le cadre de l’App Defense Alliance. Et Google Play Protect protège automatiquement contre des versions connues de ce malware, avec Play Protect activé par défaut sur les appareils Android avec Google Play Services. Ça, c’est la bonne nouvelle. La mauvaise, c’est le mot “connues”. Dans le monde réel, les variantes arrivent vite, et la distribution hors Play rend la visibilité plus compliquée.

Si tu bosses en entreprise, ça remet un projecteur sur les politiques d’installation. “Interdire les APK”, c’est facile dans un mémo. Dans un parc réel, entre les exceptions, les téléphones perso, les appareils non gérés, tu as toujours des trous. PromptSpy est un rappel assez brutal: le risque n’est pas seulement “une app malveillante”, c’est une app malveillante qui sait mieux survivre aux différences d’Android, et qui vise la prise de contrôle à distance.

Après PromptLock, la suite logique: des malwares plus adaptatifs

ESET situe PromptSpy comme le deuxième malware “AI-powered” qu’ils disent avoir découvert, après PromptLock en août 2025, présenté comme le premier cas connu de ransomware piloté par IA. Ici, on n’est pas sur du chiffrement de fichiers façon PC, on est sur un usage plus chirurgical: l’IA générative sert à guider l’action dans l’interface. C’est moins spectaculaire qu’un écran de rançon, mais plus insidieux.

Il y a aussi un précédent intéressant cité par ESET côté “automatisation intelligente”: Android. Phantom, repéré par Dr. WEB, qui utilisait des modèles TensorFlow pour analyser des captures d’écran de pubs et cliquer automatiquement pour de la fraude publicitaire à grande échelle. Là, on était sur du machine learning “classique”. PromptSpy, lui, met un modèle génératif dans la boucle pour générer des instructions adaptées au contexte visuel. Deux approches, même objectif: automatiser ce que l’humain ferait.

La nuance à garder en tête – parce qu’il faut la dire – c’est que la GenAI est utilisée dans une partie “relativement mineure” du code, selon ESET. Donc non, on n’a pas un malware “entièrement IA”, autonome, qui réécrit son propre code. Mais c’est justement ce qui rend le signal inquiétant: tu n’as pas besoin d’une révolution totale pour gagner un avantage. Une seule fonction renforcée peut suffire à augmenter la durée de vie d’une infection.

Ce que je retiens, c’est le côté industrialisable: l’UI Android est un champ de mines pour l’automatisation. Si les attaquants trouvent un moyen de la rendre plus “lisible” via un modèle, ils gagnent du temps, ils réduisent les erreurs, ils élargissent le parc compatible. Et côté défense, tu reviens aux basiques: mises à jour, Play Protect activé, méfiance sur les APK, et surveillance des autorisations d’accessibilité – parce que c’est souvent là que ça pique.