PromptSpy : le malware Android propulsé par Gemini

PromptSpy détourne Gemini, l’IA de Google, pour s’adapter en temps réel sur Android et devenir indésinstallable, ouvrant l’ère des malwares basés sur l’IA.
Favorite Streamline Icon: https://streamlinehq.com favorite AJOUTER AUX FAVORIS

3 mars 2026

Jeune femme sous la pluie, smartphone lumineux, créature chimérique de métal fusionnant à son poignet

Contexte : PromptSpy, un malware Android propulsé par Gemini

PromptSpy est un malware Android d’un genre inédit, découvert par les chercheurs d’ESET en février 2026. Il s’agit du premier logiciel malveillant connu à exploiter directement Gemini, le modèle d’intelligence artificielle générative de Google, au cœur même de son exécution. Cette intégration permet au virus de s’adapter en temps réel à l’interface utilisateur de chaque appareil Android, qu’il s’agisse d’un smartphone Samsung, Xiaomi ou Pixel. Concrètement, PromptSpy envoie des captures XML de l’écran à Gemini, qui lui renvoie ensuite des instructions pour épingler l’application dans les tâches récentes et empêcher sa fermeture. Résultat : le malware devient quasi indélogeable et résiste aux tentatives de désinstallation classiques.

Le code malveillant embarque également un module VNC (Virtual Network Computing) donnant un contrôle à distance complet de l’appareil infecté. Les pirates peuvent ainsi visualiser l’écran en temps réel, enregistrer des vidéos, intercepter des codes PIN ou schémas de verrouillage et dresser un inventaire des applications installées. Distribué par un site déguisé en mise à jour d’une application légitime, PromptSpy établit une communication chiffrée AES avec un serveur de commande situé à l’adresse IP 54.67.2.84. Les versions identifiées sont bloquées par Google Play Protect.

Pourquoi c’est important : une nouvelle étape des menaces basées sur l’IA

La découverte de PromptSpy marque un tournant dans la cybersécurité mobile. Jusqu’ici, les malwares reposaient sur des scripts préprogrammés. Désormais, l’intelligence artificielle leur offre une capacité d’adaptation dynamique. Le fait que Gemini soit mis à contribution dans le flot d’exécution d’un malware illustre une évolution majeure : les outils d’IA grand public peuvent être détournés à des fins malveillantes. ESET y voit l’avènement des « malwares adaptatifs », capables de contourner les antivirus en ajustant leurs comportements selon le contexte.

Les chercheurs rappellent toutefois que PromptSpy n’est pas diffusé à grande échelle. L’infection nécessite une activation manuelle des services d’accessibilité au premier lancement — une étape que l’utilisateur doit valider sans s’en rendre compte, souvent via un écran factice. Cette contrainte explique que la menace reste pour l’instant circonscrite, même si elle soulève de sérieux enjeux pour la détection et la prévention.

Ce que cela change : défis pour Google et les antivirus mobiles

Pour Google, cette affaire pose un dilemme technique et éthique : comment bloquer l’exploitation illégitime de l’API Gemini sans perturber les usages légitimes des développeurs ? Le risque que des acteurs malveillants réutilisent les capacités génératives du modèle pour manipuler l’environnement Android appelle à un durcissement des contrôles d’accès aux API cloud.

Les éditeurs d’antivirus sont également confrontés à un nouveau type de menace. Les signatures statiques deviennent obsolètes face à des malwares alimentés par l’IA, capables de remodeler leur comportement à la volée. Certains chercheurs évoquent déjà la nécessité d’intégrer des analyseurs d’activité neuronale ou des systèmes d’observation behavioriste : détecter l’intention d’un processus plutôt que sa forme. Play Protect, activé par défaut sur la plupart des appareils Android, joue ici un rôle central en bloquant les versions connues, mais l’efficacité à long terme dépendra de la rapidité des mises à jour et de l’analyse du trafic entre applications et l’API Gemini.

À surveiller : contre‑mesures et évolution des menaces IA

Du côté des fabricants, les données disponibles ne précisent pas si Samsung, Xiaomi ou d’autres partenaires d’Android travaillent déjà à des contre‑mesures spécifiques pour limiter les abus des services d’accessibilité ou des superpositions d’écran. Ces fonctions, essentielles pour les utilisateurs handicapés, constituent une porte d’entrée fréquente pour les malwares modernes. Un encadrement plus strict pourrait donc émerger dans les futures versions du système.

Aucune nouvelle variante de PromptSpy n’a été observée depuis février 2026, selon ESET. Néanmoins, l’existence de VNCSpy – un ancêtre sans composante IA – laisse craindre l’apparition prochaine d’autres échantillons exploitant Gemini ou d’autres modèles d’IA pour automatiser l’espionnage. Les experts recommandent aux utilisateurs Android de se limiter aux sources officielles, de maintenir leurs systèmes à jour et de surveiller les permissions accordées aux applications.

Au‑delà du cas PromptSpy, cette affaire symbolise la convergence entre intelligence artificielle et cybercriminalité. En s’appuyant sur des modèles capables de comprendre et d’interagir avec une interface logicielle, les attaquants franchissent une étape vers des menaces plus autonomes et polymorphes. Les 30 derniers jours auront ainsi marqué l’émergence d’un nouveau paradigme : celui des malwares IA, adaptatifs et résilients.

Dans la même catégorie

Les dernières news

7 avril 2026

Anthropic affole les compteurs de l’IA

7 avril 2026

Meta open source ses prochains modèles d’IA

7 avril 2026

Gemini et santé mentale : l’éthique à l’épreuve

7 avril 2026

OpenAI : une IA en expansion mondiale

7 avril 2026

Anthropic et le pari éthique du Royaume-Uni

Tous les contenus en illimité

pour 9,99€ 1 € le premier mois

S'abonner

Déja abonné ? 

S'identifier

Étendez votre accès à vos collaborateurs

avec le Pack Entreprise

Choisir le pack entreprise