À quel point l’IA déterminera les cyberattaques du futur ?
Alors que les évolutions sont scrutées de près par les experts en menaces cyber, ESET a dévoilé le 19 février 2026 un rapport autour d’un nouveau malware baptisé PromptSpy. Un rapport publié quelques mois après la découverte du premier prototype de ransomware piloté par IA.
Ici l’objectif est avant tout la prise de contrôle de l’appareil et l’exfiltration de données.
PromptSpy est présenté comme le premier logiciel malveillant Android à exploiter l’IA générative dans son flux d’exécution.
Le LLM mis à contribution ? Gemini de Google. Le rôle du LLM n’est pas de déterminer une tactique d’intrusion ou de déployer la charge utile, mais de permettre au malware de rester inexorablement actif dans le téléphone de la cible.
Gemini sert à analyser l’écran de la victime
Bien que l’IA n’occupe qu’une partie mineure du code, son impact est stratégique : elle rend PromptSpy plus adaptable et persistant, en s’assurant que l’application infectée reste dans la liste des applications récemment utilisées.
Pourquoi donc ? Parce que, pour optimiser les ressources, le système ferme automatiquement les applications en arrière-plan, à moins qu’elles n’aient été explicitement « verrouillées » par l’utilisateur.
Problème : le geste permettant ce verrouillage varie selon les constructeurs, les versions d’Android ou encore les interfaces personnalisées, ce qui rend inopérante l’utilisation de scripts statiques habituellement employés par les malwares.
C’est là que l’approche inédite avec Gemini devient intéressante. Le logiciel malveillant envoie à l’IA une description complète de l’écran actuel, incluant le texte, la nature et la position exacte de chaque élément d’interface. Gemini analyse ces informations et renvoie des instructions précises : gestes à effectuer (clic, balayage) et emplacement exact sur l’écran.
PromptSpy conserve l’historique de ces échanges, ce qui permet à Gemini de comprendre le contexte d’une interaction à l’autre. Le logiciel répète la séquence jusqu’à ce que l’IA confirme que l’application a bien été verrouillée.
Les prémices d’une menace généralisée ?
Rester continuellement actif est un enjeu majeur pour PromptSpy dont l’objectif principal est d’établir un contrôle total à distance sur l’appareil infecté. Pour cela, il installe un module VNC (technologie normalement utilisée pour l’assistance à distance) permettant aux attaquants de voir l’écran en temps réel et d’interagir avec le téléphone comme s’ils l’avaient physiquement en main.
Au-delà de ce contrôle visuel, PromptSpy offre des capacités d’espionnage avancées : capture des mots de passe saisis à l’écran de verrouillage, enregistrement de vidéos d’activité écran, et inventaire complet des applications installées.
Le rapport précise que le malware a été diffusé via un faux site web bancaire (jamais sur Google Play), et que cette campagne reste de portée limitée. Les chercheurs y voient un prototype ou proof-of-concept, conçu pour tester une approche inédite de cyberespionnage Android.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Toute l'actu tech en un clin d'œil
Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !
Tous nos articles sont aussi sur notre profil Google : suivez-nous pour ne rien manquer !