En février 2026, le malware Android PromptSpy détourne Gemini. L’IA n’espionne pas directement, mais aide l’implant à survivre et à garder la main sur l’appareil.
Des chercheurs ont identifié PromptSpy, présenté comme le premier logiciel malveillant Android connu à exploiter l’IA Gemini de Google. L’usage de l’IA reste ciblé mais stratégique : maintenir l’application malveillante épinglée dans la liste des applications récentes, afin d’éviter sa fermeture et de compliquer la suppression. Pour y parvenir, PromptSpy envoie à Gemini une requête textuelle et une capture XML de l’interface, puis reçoit des instructions JSON indiquant où cliquer ou glisser.
Gemini, un outil de persistance plutôt qu’un cerveau criminel
Dans le récit d’ESET, la nouveauté n’est pas un malware « piloté » par une IA omnisciente, mais un implant qui utilise Gemini comme un guide d’interface. PromptSpy cherche un objectif précis : rester “épinglé” dans la vue des applications récentes. Cette position, banale pour l’utilisateur, devient une brique de résilience pour l’attaquant : si l’app reste présente et active, elle échappe plus facilement aux mécanismes qui la ferment et elle conserve les permissions obtenues.
La difficulté, côté cybercriminel, tient à la diversité d’Android. Les malwares qui automatisent des gestes sur écran se heurtent aux variations de versions, de surcouches constructeurs et de langues. PromptSpy contourne ce problème en externalisant l’interprétation de l’interface : il transmet à Gemini une description textuelle et surtout une vue structurée de l’écran (XML), qui liste boutons, libellés et emplacements. En retour, l’IA fournit des consignes détaillées au format JSON, indiquant où interagir. Le logiciel répète la boucle jusqu’à réussir l’épinglage, ce qui lui évite de dépendre de coordonnées tactiles fixes, souvent fragiles.
Une limite importante : le modèle et les instructions seraient prédéfinis dans le code et ne pourraient pas être modifiés. Autrement dit, l’IA ne sert pas à improviser une stratégie d’espionnage, mais à rendre fiable une action de navigation. C’est précisément ce caractère “modeste” qui rend l’approche crédible : une fonctionnalité réduite, mais suffisamment robuste pour augmenter le nombre d’appareils compatibles, donc la surface de victimes potentielles.
Un espionnage mobile complet, calibré pour le contrôle à distance
Une fois l’implant installé, PromptSpy s’appuie sur deux piliers techniques : un module VNC, pour prendre le contrôle de l’écran à distance, et l’abus des services d’accessibilité, pour obtenir des capacités intrusives et contrer la désinstallation. Le résultat, côté attaquant, est un poste d’observation et d’action : visualiser l’écran, exécuter des gestes, rester opérationnel tout en se rendant discret, y compris en limitant sa visibilité dans la liste des applications récentes.
Les fonctions d’espionnage mentionnées sont explicites : collecte d’informations sur l’appareil, inventaire des applications, captures d’écran, enregistrement vidéo de l’activité, et récupération de données de l’écran de verrouillage, dont des codes PIN. La communication avec l’infrastructure de commande et de contrôle s’appuie sur du trafic VNC chiffré en AES, une protection qui vise surtout à compliquer l’inspection réseau et la détection. Pour empêcher la suppression, PromptSpy superposerait des éléments invisibles aux boutons de désinstallation, une technique d’entrave qui détourne la confiance accordée à l’interface système. La sortie passe alors par un redémarrage en mode sans échec, afin de neutraliser l’exécution du malware et reprendre la main.
Le scénario de diffusion décrit un ciblage opportuniste mais cohérent. PromptSpy ne se propage pas via Google Play : il serait distribué depuis un site dédié. Des sites malveillants imiteraient Chase Bank, avec des marques telles que « MorganArg », et une application d’hameçonnage associée servirait de relais pour déposer la charge finale. Des téléversements d’échantillons depuis Hong Kong, puis depuis l’Argentine ont été detéctés, ce qui alimente l’hypothèse d’une campagne concentrée sur des utilisateurs argentins, motivée par le gain financier.
Le lien avec une lignée existante renforce l’idée d’industrialisation. PromptSpy est présenté comme une évolution de VNCSpy. C’est le second cas d’IA malware après PromptLock en août 2025, décrit comme un premier ransomware piloté par l’IA. Enfin, des indices linguistiques apparaissent dans le code : chaînes de débogage en chinois simplifié, gestion d’événements d’accessibilité en chinois, et une méthode de débogage désactivée traduisant les événements Android en chinois. C’est grossier, mais pourquoi pas !
