jeudi, juillet 2, 2026
33.5 C
Tunisie

ESET Research : PromptSpy inaugure l’ère de la persistance Android assistée par GenAI (Gemini)

ESET Research vient de documenter PromptSpy, une menace Android hybride marquant une rupture technologique. En intégrant l'IA générative Gemini dans son flux d'exécution, ce spyware automatise la manipulation d'interface pour garantir sa persistance et l'exfiltration de données via un module VNC.

L’intégration de l’intelligence artificielle dans l’écosystème cybercriminel franchit une étape critique. ESET Research a identifié PromptSpy, le premier malware Android dont la chaîne d’exécution repose structurellement sur l’IA générative. Après la découverte de PromptLock en août 2025, cette nouvelle famille de spywares démontre que l’IA n’est plus un simple gadget de conception, mais un moteur de persistance dynamique.

Analyse du vecteur de persistance : L’IA comme orchestrateur d’UI

La singularité de PromptSpy réside dans son exploitation de l’API du modèle Gemini de Google. Plutôt que d’utiliser des scripts statiques pour masquer son activité, le malware interroge le LLM (Large Language Model) pour analyser le contexte visuel de l’appareil.

L’IA fournit des instructions précises pour verrouiller l’application malveillante dans la liste des « Recents » (multitâche). En simulant l’activation de l’icône de cadenas présente sur de nombreuses surcouches Android, PromptSpy empêche le système ou l’utilisateur de purger le processus en arrière-plan.

« L’IA permet au malware de s’affranchir des différences de fragmentation d’Android. Il devient agnostique du modèle de smartphone ou de la version de l’OS », précise Lukáš Štefanko, chercheur senior chez ESET.

Anatomie technique de la charge utile

Le cœur transactionnel de PromptSpy est l’exfiltration massive de données, facilitée par une architecture modulaire :

  • Module VNC (Virtual Network Computing) : Le malware déploie un serveur VNC permettant un contrôle distant intégral (Remote Access).
  • Abus des Services d’Accessibilité : PromptSpy détourne ces services pour générer des superpositions invisibles (overlays), bloquant toute tentative de désinstallation manuelle dans les paramètres système.
  • Chiffrement AES : Les communications avec le serveur de Command & Control (C2) sont protégées par un chiffrement AES robuste, compliquant l’analyse de flux réseau.
  • Data Harvesting : Capture systématique des entrées sur l’écran de verrouillage (Keylogging visuel) et enregistrement vidéo continu de l’activité utilisateur.

Ciblage et Attribution : L’opération « MorganArg »

Le malware se propage sous l’alias MorganArg, usurpant l’identité visuelle de la banque JP Morgan Chase. Les indices linguistiques et la version en cache du site de diffusion pointent vers une campagne ciblée sur l’Argentine.

Bien que le modèle d’IA et le « prompt » associé soient actuellement codés en dur dans le binaire (empêchant une mutation dynamique côté serveur), cette approche en « Proof of Concept » (PoC) montre une scalabilité inquiétante pour les futures variantes.

Évitement et Remédiation

PromptSpy évite le Google Play Store et privilégie le sideloading via des sites dédiés. En tant que partenaire de l’App Defense Alliance, ESET a partagé ces signatures avec Google, garantissant une détection par Google Play Protect.

Protocole de désinfection ESET : En raison du verrouillage des services d’accessibilité, la suppression nécessite une interruption de la couche applicative tierce :

  1. Boot en Mode Sans Échec (Safe Mode).
  2. Navigation vers Paramètres > Applications > MorganArg.
  3. Exécution de la désinstallation (les services de superposition étant inactifs dans ce mode).

L’émergence de PromptSpy confirme que la flexibilité offerte par la GenAI est désormais un levier d’automatisation pour l’ingénierie sociale et la persistance logicielle.

PromptSpy - Rectangles invisibles (affichés en couleur pour plus de clarté) couvrant des boutons spécifiques.
PromptSpy – Rectangles invisibles (affichés en couleur pour plus de clarté) couvrant des boutons spécifiques.

Articles Recents

ESET Research met à nu SprySOCKS for Windows : pilote noyau, détournement TCP et soupçon de bootkit UEFI

WIN_DRV intègre un pilote noyau capable de masquer ses connexions réseau et de détourner le trafic TCP vers un port caché, rendant sa détection quasi impossible depuis l'espace utilisateur.

Galaxy Ring 2 : Samsung mise sur le logiciel, la batterie silicium-carbone et une possible ouverture à iOS

Entre fusion des données biométriques, batterie silicium-carbone et litige de brevets avec Oura, le Galaxy Ring 2 se dessine comme une mise à jour avant tout logicielle, lancement attendu début 2027.

Pénurie de mémoire IA : Xiaomi, Oppo et Vivo réduisent leurs objectifs smartphones 2026 jusqu’à 30 %

Xiaomi ramène son objectif à 95 millions d'unités (−30 %). IDC anticipe −14 % sur l'ensemble des expéditions mondiales 2026. Samsung, SK Hynix et Micron ont réorienté leurs capacités vers l'IA, comprimant l'offre DRAM grand public jusqu'en 2027 au moins.

ESET Research : rôle technique dans la neutralisation des botnets Amadey et Stealc (MaaS)

Trois ans de suivi continu, des systèmes automatisés d'extraction d'artefacts et un partage structuré d'IoC : la contribution d'ESET au démantèlement d'Amadey et Stealc illustre le rôle pivot du renseignement sur les menaces dans les opérations de takedown coordonnées.

Galaxy Watch 9 et Ultra 2 : ce que les fuites techniques révèlent avant l’Unpacked de juillet

Snapdragon Wear Elite 3 nm, batterie 800 mAh sur l'Ultra 2, design anguleux : voici ce que les fuites révèlent sur les prochaines Galaxy Watch de Samsung.

Topics

ESET Research met à nu SprySOCKS for Windows : pilote noyau, détournement TCP et soupçon de bootkit UEFI

WIN_DRV intègre un pilote noyau capable de masquer ses connexions réseau et de détourner le trafic TCP vers un port caché, rendant sa détection quasi impossible depuis l'espace utilisateur.

Galaxy Ring 2 : Samsung mise sur le logiciel, la batterie silicium-carbone et une possible ouverture à iOS

Entre fusion des données biométriques, batterie silicium-carbone et litige de brevets avec Oura, le Galaxy Ring 2 se dessine comme une mise à jour avant tout logicielle, lancement attendu début 2027.

Pénurie de mémoire IA : Xiaomi, Oppo et Vivo réduisent leurs objectifs smartphones 2026 jusqu’à 30 %

Xiaomi ramène son objectif à 95 millions d'unités (−30 %). IDC anticipe −14 % sur l'ensemble des expéditions mondiales 2026. Samsung, SK Hynix et Micron ont réorienté leurs capacités vers l'IA, comprimant l'offre DRAM grand public jusqu'en 2027 au moins.

ESET Research : rôle technique dans la neutralisation des botnets Amadey et Stealc (MaaS)

Trois ans de suivi continu, des systèmes automatisés d'extraction d'artefacts et un partage structuré d'IoC : la contribution d'ESET au démantèlement d'Amadey et Stealc illustre le rôle pivot du renseignement sur les menaces dans les opérations de takedown coordonnées.

Galaxy Watch 9 et Ultra 2 : ce que les fuites techniques révèlent avant l’Unpacked de juillet

Snapdragon Wear Elite 3 nm, batterie 800 mAh sur l'Ultra 2, design anguleux : voici ce que les fuites révèlent sur les prochaines Galaxy Watch de Samsung.

Design computationnel chez Samsung : IA, jumeaux numériques et robots au service des wearables

Plus de 10 000 simulations IA, des centaines de millions de données anatomiques mondiales : voici comment Samsung a repensé le design des Galaxy Buds4 Series grâce au computational design.

ESET, seul Challenger du Magic Quadrant 2026 de Gartner

ESET est désigné seul Challenger du Magic Quadrant 2026 de Gartner pour la protection des terminaux. Une reconnaissance qui s’appuie sur 16 années de présence dans le rapport et sur la plateforme ESET PROTECT, axée prévention

ESET Research : la Chine espionne le Golfe et l’IA sud-coréenne

ESET Research documente l'expansion des campagnes d'espionnage chinoises vers le Venezuela, la Syrie et le Golfe, avec un ciblage marquant d'une entreprise sud-coréenne spécialisée en IA et robotique, liée à Made in China 2025.

Articles connexes

Catégories populaires