ESET a découvert le premier virus pour Android utilisant Google Gemini – PromptSpy

Qu’est‑ce que PromptSpy ?

Les développeurs de la société ESET ont identifié un nouveau malware pour Android nommé PromptSpy. C’est le premier virus qui s’adresse directement au chatbot Google Gemini via son API et utilise les capacités d’IA générative pour « se fixer » sur l’appareil infecté.

Comment fonctionne PromptSpy
1. Connexion à Gemini

Le malware envoie des requêtes pré‑préparées à Gemini, obtenant de là des instructions étape par étape. Grâce à ces instructions, il analyse l’écran de l’appareil (par exemple, reconnaît les images) et détermine comment se maintenir dans la liste des applications récentes.

2. Installation d’un module d’accès à distance

Une fois que l’utilisateur accepte d’installer l’application MorganArg (en réalité un malware), PromptSpy contacte le serveur contrôlé par les attaquants et télécharge la partie restante du code. Celui‑ci intègre un module réseau virtuel (VNC) ainsi que des requêtes pour accéder aux services d’assistance, ce qui permet de contrôler à distance l’appareil Android.

3. Contournement des méthodes classiques de suppression

Le malware superpose des « rectangles transparents » sur l’écran, bloquant les touches dans les zones critiques et rendant difficile la fermeture forcée de l’application. Il ne peut être supprimé qu’en mode sans échec, où les applications tierces sont désactivées.

4. Fonctionnalités supplémentaires

- Capacité à intercepter les codes PIN de verrouillage d’écran.
- Enregistrement des actions à l’écran (glissements, saisie de texte).
- Simulation d’une interaction physique avec l’appareil – comme si un opérateur tenait le téléphone en main.

Origine et objectif de l’attaque
- Orientation régionale : Le site de phishing via lequel PromptSpy était distribué utilisait la marque *JPMorgan Chase Argentina*, ciblant ainsi les utilisateurs d’Argentine.
- Apparition sur Internet : Le virus a été découvert après que des échantillons aient été téléchargés depuis l’Argentine vers la plateforme Google VirusTotal.
- Empreintes chinoises : Des fragments en chinois apparaissent dans le code, confirmant l’hypothèse d’une origine de développement au China.

Comment se protéger
- Google Play Protect : Selon ESET, le service de protection de Google bloque déjà PromptSpy et l’application n’est pas encore disponible sur le Play Market.
- Mises à jour du système d’exploitation et des applications : Installez les dernières mises à jour de sécurité Android et utilisez uniquement des sources fiables pour télécharger des programmes.
- Prudence avec les autorisations : N’acceptez pas les demandes d’installation d’applications non vérifiées, surtout si elles demandent l’accès aux services d’assistance.

Conclusion
PromptSpy illustre un nouveau niveau d’interaction entre malware et services d’IA générative. Grâce à Gemini, le virus peut s’adapter à n’importe quel appareil et système d’exploitation, augmentant ainsi le risque de contamination. Bien que son suppression soit compliquée, le mode sans échec permet de l’éliminer, et les mécanismes intégrés de Google Play Protect assurent déjà une protection pour les utilisateurs.