Les chercheurs en sécurité ont identifié une nouvelle variante de logiciels malveillants pour Android qui, pour la première fois selon les analystes, intègre un modèle génératif d'intelligence artificielle dans sa chaîne courante pour atteindre la persistance dans l'appareil. Le spectacle, baptisé comme ProptSpy par l'entreprise ESET, non seulement espionne l'utilisateur: il profite de la capacité du modèle d'interpréter les interfaces et de retourner des instructions spécifiques que le cheval de Troie lui-même traverse les services d'accessibilité du système.
Le mécanisme est inquiétant dans sa simplicité opérationnelle. Le malware contient à la fois l'identificateur de modèle et une instruction initiale qui assigne à l'IA le rôle d'assistant d'automatisation. Dans le temps de fonctionnement, il prend un instantané structuré de l'écran - un flip XML qui décrit chaque élément de l'interface, son type, son texte et sa position - et l'envoie au service générateur. La réponse qu'il reçoit n'est pas un texte pensé pour les humains, mais un ensemble d'indications en format JSON qui indiquent l'action à faire (par exemple, cliquez sur une coordonnée spécifique) et où.
Avec ce feedback, ProptSpy peut parcourir les menus, accepter les permissions, définir sur la liste des applications récentes et appliquer une succession d'interactions jusqu'à ce que l'application malveillante soit ancrée et difficile à fermer. Tout cela se fait sans pulsations de l'utilisateur, car l'exécution des actions se fait par le biais de services d'accessibilité, ce qui permet de simuler les interactions dans l'interface.
Le but ultime du projet est de donner à l'attaquant un accès à distance complet. Le logiciel intègre un module VNC qui ouvre une porte pour contrôler l'écran de l'appareil et transmettre la vidéo. En outre, il a la capacité de capturer l'écran, d'intercepter les données de verrouillage (comme les modèles ou l'entrée à l'écran PIN), d'enregistrer l'activité et de prendre des captures à la demande du serveur de commande et de contrôle. Le serveur C2 qui a été observé délivre également, le cas échéant, la clé de l'API Gemini que les logiciels malveillants utilisent pour communiquer avec le modèle.
La campagne, selon l'analyse médico-légale, ne distribue pas ses applications par l'intermédiaire de Google Play: elle est promue par un site web dédié qui agit comme une goutteuse. L'installateur ouvre une page qui passe par un service bancaire, dans ce cas avec des références à une entité appelée "MorganArg" pour cibler les utilisateurs en Argentine, et demande à l'utilisateur d'activer l'installation à partir d'origines inconnues pour pouvoir télécharger l'APK malveillant. Pendant son exécution, le dropper consulte un serveur qui devait fournir l'URL de la prochaine charge utile, bien qu'au moment de l'étude ce serveur ne réponde plus.
Les signes linguistiques et les vecteurs de distribution indiquent une motivation financière et une préférence pour les cibles situées en Argentine, bien qu'il y ait aussi des signes que le développement a eu lieu dans un environnement sinophone : les binaires contiennent des chaînes de nettoyage chinoises simplifiées. En outre, ESET considère que ProptSpy est une évolution plus sophistiquée d'une famille précédente récemment détectée sur des plateformes telles que VirusTotal.
Du point de vue technique, la nouveauté pertinente est la façon dont les attaquants ont combiné deux éléments indépendants jusqu'à présent: l'utilisation de services d'accessibilité - une technique Android bien connue pour automatiser les interactions - avec la capacité des modèles générateurs d'interpréter la structure d'un écran et de décider des étapes précises en fonction de lui. Le résultat est un malware plus flexible qui peut être adapté à différentes versions du système et à différentes conceptions d'interface, quelque chose qui rend plus difficile de se défendre avec des signatures statiques ou des règles qui supposent des flux d'interaction fixes.
Pour les utilisateurs, la recommandation pratique est claire : ne jamais installer d'applications de sources non vérifiées et de liens de méfiance ou d'installateurs qui simulent des mises à jour bancaires ou des services critiques. Si une application malveillante est capable de bloquer la désinstallation par des chevauchements invisibles, la manière la plus fiable de récupérer est de redémarrer l'appareil en toute sécurité - une option qui désactive les applications tierces et permet de les supprimer. Google décrit le processus pour entrer en mode sécurisé sur cette page de support officiel: Redémarrer l'appareil en mode sûr.
Il est également conseillé de tenir le système d'exploitation et les applications à jour, d'utiliser des solutions de sécurité mobiles de bonne réputation et de revoir les autorisations données à chaque application; les services d'accessibilité, en particulier, devraient être réservés aux applications fiables. Les organismes et les chercheurs peuvent consulter des échantillons et des signaux dans des outils d'analyse communautaire tels que : VirusTotal et suivre les rapports de sécurité pour comprendre les nouvelles techniques. Le rapport technique ESET qui décrit ProptSpy en détail est disponible sur le blog WeLiveSecurity: Analyse ProptSpy.
Au-delà du cas spécifique, cet incident met en évidence une tendance inquiétante : les outils d'intelligence artificielle, conçus pour aider et automatiser les tâches légitimes, peuvent également améliorer les attaques plus adaptatives et évolutives. Nous sommes confrontés à un saut qualitatif dans la capacité des acteurs malveillants à automatiser l'interaction avec des interfaces hétérogènes, ce qui augmente le besoin de contrôles dans la conception des API, limite l'utilisation de modèles provenant d'applications tierces et améliore la sécurité du système d'exploitation lui-même.
La course entre défenseurs et attaquants est compliquée lorsque les renseignements sont sous-traités à des tiers. Il est donc important que les fabricants, les fournisseurs de modèles et la communauté de la sécurité travaillent sur des mesures qui rendent difficile l'utilisation de générateurs - des politiques commerciales et des contrôles à la détection comportementale sur les appareils mobiles. Pendant ce temps, la meilleure défense pour un utilisateur individuel reste le bon sens numérique : ne pas télécharger des applications d'origine douteuse, revoir les autorisations et, face à la suspicion d'infection, recourir à des méthodes de récupération et à des professionnels fiables.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...