Les chercheurs en sécurité ont identifié ce qui semble être la première famille de logiciels malveillants pour Android qui intègre directement un modèle d'intelligence générative dans son flux de fonctionnement. La pièce, nommée par des analystes comme PromptSpy, a été décrite par l'équipe ESET après avoir analysé des échantillons apparus dans les services publics d'analyse de logiciels malveillants. La nouveauté n'est pas que le code utilise l'IA pour générer des courriels d'hameçonnage ou du contenu malveillant, mais qu'il appelle un modèle de langue dans le temps d'exécution pour décider quelles actions faire sur l'interface du périphérique infecté. Vous pouvez consulter le rapport technique ESET ici: Sécurité WeLive / ESET.
Le mécanisme utilisé par ProptSpy est basé sur le modèle Gemini de Google. Le malware capture un flip XML de l'écran actif - une liste structurée d'éléments en UI visibles, leurs balises, types et coordonnées - et l'envoie à côté d'une invitation au modèle. Gemini retourne les instructions en format JSON qui décrivent ce que l'interaction à faire à l'écran, par exemple, « bloquer » ou « mettre » l'application à la vue des applications récentes. Le malware exécute ces instructions à travers le service d'accessibilité Android, lit le nouvel état de l'écran et répète la boucle jusqu'à ce que le modèle confirme que l'application a été corrigée.
Ce comportement a un objectif clair : la persistance. Sur de nombreux appareils Android, il y a une option pour "bloquer" ou "ancrer" une application dans la liste des récents ; quand une application est définie, le système est moins susceptible de terminer son processus lors du nettoyage de la mémoire ou lorsque l'utilisateur appuyez sur "Supprimer tout." Pour une application légitime qui évite les interruptions de travail de fond; pour un spyware comme ProptSpy, il assure que le code malveillant est maintenu en vie plus longtemps. Le problème pour les auteurs de logiciels malveillants est que l'implémentation et l'emplacement de cette fonction varient beaucoup entre les marques et les versions Android, et c'est là que la capacité d'adaptation du modèle de langue est utile.
Au-delà de l'innovation persistante, le principal objectif de ProptSpy est l'espionnage. Les analyses montrent qu'il comprend un module VNC qui, lorsque l'application a des privilèges d'accessibilité, permet aux attaquants de visualiser et de contrôler l'écran de l'appareil en temps réel. Les capacités qui lui sont attribuées comprennent la capture d'écrans et de vidéos à partir du modèle de déverrouillage, la lecture et l'interception possible de NIP ou de mots de passe à partir de l'écran de verrouillage, la liste des applications installées et l'enregistrement de l'application dans le premier plan et les gestes de l'utilisateur. En outre, lorsque la victime tente de désinstaller l'application ou de révoquer les autorisations, le malware place des rectangles invisibles sur les boutons système de sorte que, en les appuyant, l'action légitime ne s'exécute pas et la désinstallation est bloquée.
Désinstaller ce type de menace peut nécessiter des étapes hors de l'ordinaire: les chercheurs expliquent que le redémarrage Android Safe Mode - qui désactive les applications tierces - est le moyen le plus fiable pour supprimer l'application malveillante si le mécanisme de verrouillage du chevauchement est actif. À cet égard, ESET n'a pas signalé jusqu'à présent des détections étendues de ProptSpy dans sa télémétrie, de sorte qu'il n'est toujours pas clair s'il s'agit d'un test de concept avancé ou d'un malware de circulation limité. Cependant, le fait que certains échantillons auraient pu être distribués à travers des domaines dédiés et une page qui imitait une banque suggère qu'elle aurait pu être utilisée dans des attaques réelles; vous pouvez voir les reportages sur BleepingComputer: Calculateur et d'explorer l'analyse d'échantillons dans des services tels que VirusTotal.
S'il est confirmé que l'utilisation de Gemini ou d'autres LLM dans le temps de fonctionnement est généralisée, les conséquences pour la cybersécurité mobile sont pertinentes. L'IA fournit aux attaquants un « cerveau » capable d'interpréter des interfaces hétérogènes et de générer des séquences d'interaction adaptées à chaque appareil, qui réduit la dépendance à des scripts rigides qui échouent à de petites variations dans l'interface. Cette adaptabilité facilite l'automatisation des actions qui exigeaient auparavant une ingénierie spécifique par chaque fabricant, compliquant la détection par signatures et le blocage par comportement statique.
L'émergence de ProptSpy s'inscrit dans une tendance plus large : les acteurs malveillants et, selon les rapports des groupes de renseignement, même les campagnes parrainées par l'État, expérimentent des modèles générateurs pour accélérer les tâches, de la reconnaissance aux mouvements post-engagement. Parallèlement, les fournisseurs de plates-formes et l'équipement de sécurité devraient améliorer les limites de surveillance et d'abus des API qui permettent une interaction automatisée avec l'interface utilisateur.
Pour les utilisateurs et les administrateurs, les recommandations pratiques passent par des mesures bien connues mais efficaces : évitez d'installer des applications en dehors des magasins de confiance, examinez attentivement quelles applications demandent des autorisations sensibles telles que l'accessibilité ou la possibilité de tirer sur d'autres applications, gardez le système d'exploitation et les applications à jour, et utilisez une protection supplémentaire comme Google Play Protect. Les guides officiels Android sur la façon dont les services d'accessibilité fonctionnent et comment les gérer sont un bon point de départ pour comprendre les risques techniques: Documentation officielle des services d'accessibilité. Pour obtenir des conseils généraux en matière de sécurité mobile, vous pouvez consulter des ressources gouvernementales comme la CISA : CISA - Conseils de sécurité pour les appareils mobiles, et l'explication de Google sur comment Play Protect aide à protéger les dispensatifs: Google Play Protéger.
ProptSpy est, pour le moment, un exemple précoce de la façon dont l'intelligence générative peut être intégrée dans le cycle d'exécution de logiciels malveillants lui-même, transformant des techniques déjà connues (persistance, télécommande, évasion de désinstallation) en processus beaucoup plus flexibles. La leçon pour les utilisateurs et les professionnels est claire: l'arrivée de modèles génériques à l'écosystème de la menace ne fait pas de nouvelles menaces, mais elle les rend plus difficiles à anticiper. La défense exigera le maintien de bonnes pratiques de base, le renforcement des contrôles des permis et l'amélioration de la détection comportementale dans les terminaux mobiles.
Alerte de sécurité La vulnérabilité critique du médicament par injection SQL dans PostgreSQLTM nécessite une mise à jour immédiate
Drucal a publié des mises à jour de sécurité pour une vulnérabilité qualifiée "très critique" qui touche Drumal Core et permet à un attaquant d'effectuer une injection SQL arbit...
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...