Publié le 20/02/2026 Dans Press Releases
Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.
le 20 février 2026 — Les chercheurs d'ESET ont découvert PromptSpy, le premier malware Android connu utilisant l'IA générative dans son flux d'exécution pour assurer sa persistance. C'est la première fois que l'IA générative est utilisée ainsi. ESET a nommé cette famille de malwares PromptSpy, car les attaquants utilisent un modèle d'IA (Gemini de Google) pour manipuler l'interface utilisateur à des fins malveillantes. Le maliciel capture les données de l'écran de verrouillage, bloque les tentatives de désinstallation, collecte des informations sur l'appareil, prend des captures d'écran, enregistre en vidéo l'activité de l'écran et bien plus encore. Après PromptLock, le premier cas connu de rançongiciel piloté par l'IA en août 2025, c’est le deuxième maliciel basé sur l’IA découvert par ESET Research.
D'après la localisation linguistique et les vecteurs de distribution observés lors de l'analyse, cette campagne semble motivée par des considérations financières et cible en premier lieu les utilisateurs argentins. PromptSpy n'a pas encore été détecté dans la télémétrie d'ESET, ce qui indiquerait qu'il ne s'agit encore que d'un concept.
Bien que l'IA générative ne soit déployée que dans une partie mineure du code de PromptSpy — celle qui assure sa persistance — elle a un impact important sur l'adaptabilité du maliciel. Plus précisément, Gemini est utilisé pour fournir à PromptSpy des instructions détaillées sur la façon de « verrouiller », c'est-à -dire d'épingler, l'appli malveillante dans la liste des applis récentes (souvent représentée par une icône de cadenas dans le multitâche de nombreux lanceurs Android), l'empêchant d'être facilement fermée par le système. Le modèle d'IA et les instructions sont prédéfinis dans le code et ne peuvent être modifiés.
« Comme les maliciels Android se basent souvent sur la navigation via l'interface utilisateur, l'utilisation de l'IA générative permet aux criminels de s'adapter à presque tous les appareils, configurations ou versions de système d'exploitation, ce qui augmente fortement le nombre de victimes potentielles », explique Lukáš Štefanko, le chercheur d’ESET qui a découvert PromptSpy. « La principale fonction de PromptSpy est d’installer un module VNC intégré, offrant aux opérateurs un accès à distance à l'appareil de la victime. Ce maliciel Android exploite aussi les services d'accessibilité pour bloquer la désinstallation avec des superpositions invisibles, capturer les données de l'écran de verrouillage et enregistrer une vidéo de l'activité de l'écran. Il communique avec son serveur de commande et de contrôle via un chiffrement AES », ajoute Štefanko.
PromptSpy est distribué par un site dédié et n'a jamais été disponible sur Google Play. Étant partenaire de l'App Defense Alliance, ESET a partagé ses conclusions avec Google. Les utilisateurs Android sont automatiquement protégés contre les versions connues de ce maliciel par Google Play Protect, activé par défaut sur les appareils Android disposant des services Google Play.
PromptSpy n'utilise Gemini que dans une de ses fonctionnalités, il permet aux criminels d'automatiser des actions qui seraient normalement plus difficiles à réaliser avec des scripts traditionnels », explique Štefanko.
L'appli, nommée MorganArg et dont l'icône semble inspirée par Morgan Chase, est probablement un maliciel usurpant l'identité de cette banque. MorganArg, probablement l'abréviation de « Morgan Argentina », apparaît aussi comme nom du site mis en cache, suggérant un ciblage régional.
Comme PromptSpy bloque sa désinstallation en superposant des éléments invisibles à l'écran, la seule façon de le supprimer est de redémarrer l'appareil en mode sans échec. Dans ce mode, les applis tierces sont désactivées et peuvent être désinstallées normalement. Pour accéder au mode sans échec, il faut maintenir le bouton d'alimentation enfoncé, puis appuyer longuement sur « Éteindre » et confirmer le redémarrage en mode sans échec (la procédure peut varier selon l'appareil et le fabricant). Une fois l’appareil redémarré en mode sans échec, l'utilisateur peut accéder à Paramètres → Applications → MorganArg et désinstaller l'appli sans problème.
Pour une analyse plus détaillée de PromptSpy, consultez le dernier blog d'ESET PromptSpy ushers in the era of Android threats using GenAI , sur www.welivesecurity.com. Suivez ESET Research sur Twitter (aujourd’hui connu sous le nom de X), BlueSky et Mastodon pour les dernières actualités.
A propos d’ESET
ESET® propose une cybersécurité de pointe pour prévenir les attaques avant qu'elles ne se produisent. En combinant la puissance de l'IA et l'expertise humaine, ESET anticipe les cybermenaces mondiales émergentes, connues et inconnues, sécurisant les entreprises, les infrastructures critiques et les particuliers. Qu'il s'agisse de protection de terminaux, du cloud ou d’appareils mobiles, ses solutions et services cloud, basés sur l'IA, sont hautement efficaces et d’une utilisation facile. La technologie ESET comprend une détection et une réponse robustes, un chiffrement ultra-sécurisé et une authentification multifacteur. Grâce à une défense en temps réel 24/7 et à un support local performant, ESET assure la sécurité des utilisateurs et la continuité des activités des entreprises. L'évolution constante du paysage numérique exige une approche progressive de la sécurité. ESET est engagé dans une recherche de pointe et une veille stratégique sur les menaces, avec le soutien de ses centres de R&D et un solide réseau de partenaires au niveau mondial. Pour plus d'informations, rendez-vous sur www.eset.com/ ou suivez nos réseaux sociaux, podcasts, blogs et https://www.est.com/be-fr/
D'après la localisation linguistique et les vecteurs de distribution observés lors de l'analyse, cette campagne semble motivée par des considérations financières et cible en premier lieu les utilisateurs argentins. PromptSpy n'a pas encore été détecté dans la télémétrie d'ESET, ce qui indiquerait qu'il ne s'agit encore que d'un concept.
Bien que l'IA générative ne soit déployée que dans une partie mineure du code de PromptSpy — celle qui assure sa persistance — elle a un impact important sur l'adaptabilité du maliciel. Plus précisément, Gemini est utilisé pour fournir à PromptSpy des instructions détaillées sur la façon de « verrouiller », c'est-à -dire d'épingler, l'appli malveillante dans la liste des applis récentes (souvent représentée par une icône de cadenas dans le multitâche de nombreux lanceurs Android), l'empêchant d'être facilement fermée par le système. Le modèle d'IA et les instructions sont prédéfinis dans le code et ne peuvent être modifiés.
« Comme les maliciels Android se basent souvent sur la navigation via l'interface utilisateur, l'utilisation de l'IA générative permet aux criminels de s'adapter à presque tous les appareils, configurations ou versions de système d'exploitation, ce qui augmente fortement le nombre de victimes potentielles », explique Lukáš Štefanko, le chercheur d’ESET qui a découvert PromptSpy. « La principale fonction de PromptSpy est d’installer un module VNC intégré, offrant aux opérateurs un accès à distance à l'appareil de la victime. Ce maliciel Android exploite aussi les services d'accessibilité pour bloquer la désinstallation avec des superpositions invisibles, capturer les données de l'écran de verrouillage et enregistrer une vidéo de l'activité de l'écran. Il communique avec son serveur de commande et de contrôle via un chiffrement AES », ajoute Štefanko.
PromptSpy est distribué par un site dédié et n'a jamais été disponible sur Google Play. Étant partenaire de l'App Defense Alliance, ESET a partagé ses conclusions avec Google. Les utilisateurs Android sont automatiquement protégés contre les versions connues de ce maliciel par Google Play Protect, activé par défaut sur les appareils Android disposant des services Google Play.
PromptSpy n'utilise Gemini que dans une de ses fonctionnalités, il permet aux criminels d'automatiser des actions qui seraient normalement plus difficiles à réaliser avec des scripts traditionnels », explique Štefanko.
L'appli, nommée MorganArg et dont l'icône semble inspirée par Morgan Chase, est probablement un maliciel usurpant l'identité de cette banque. MorganArg, probablement l'abréviation de « Morgan Argentina », apparaît aussi comme nom du site mis en cache, suggérant un ciblage régional.
Comme PromptSpy bloque sa désinstallation en superposant des éléments invisibles à l'écran, la seule façon de le supprimer est de redémarrer l'appareil en mode sans échec. Dans ce mode, les applis tierces sont désactivées et peuvent être désinstallées normalement. Pour accéder au mode sans échec, il faut maintenir le bouton d'alimentation enfoncé, puis appuyer longuement sur « Éteindre » et confirmer le redémarrage en mode sans échec (la procédure peut varier selon l'appareil et le fabricant). Une fois l’appareil redémarré en mode sans échec, l'utilisateur peut accéder à Paramètres → Applications → MorganArg et désinstaller l'appli sans problème.
Pour une analyse plus détaillée de PromptSpy, consultez le dernier blog d'ESET PromptSpy ushers in the era of Android threats using GenAI , sur www.welivesecurity.com. Suivez ESET Research sur Twitter (aujourd’hui connu sous le nom de X), BlueSky et Mastodon pour les dernières actualités.
A propos d’ESET
ESET® propose une cybersécurité de pointe pour prévenir les attaques avant qu'elles ne se produisent. En combinant la puissance de l'IA et l'expertise humaine, ESET anticipe les cybermenaces mondiales émergentes, connues et inconnues, sécurisant les entreprises, les infrastructures critiques et les particuliers. Qu'il s'agisse de protection de terminaux, du cloud ou d’appareils mobiles, ses solutions et services cloud, basés sur l'IA, sont hautement efficaces et d’une utilisation facile. La technologie ESET comprend une détection et une réponse robustes, un chiffrement ultra-sécurisé et une authentification multifacteur. Grâce à une défense en temps réel 24/7 et à un support local performant, ESET assure la sécurité des utilisateurs et la continuité des activités des entreprises. L'évolution constante du paysage numérique exige une approche progressive de la sécurité. ESET est engagé dans une recherche de pointe et une veille stratégique sur les menaces, avec le soutien de ses centres de R&D et un solide réseau de partenaires au niveau mondial. Pour plus d'informations, rendez-vous sur www.eset.com/ ou suivez nos réseaux sociaux, podcasts, blogs et https://www.est.com/be-fr/
Liens associés
12/02/2026 @ 14:11:54
Poster un commentaire
