Un malware qui demande à Google Gemini comment survivre sur votre smartphone. On n’avait jamais vu ça.
Quand le virus consulte l’IA
Des chercheurs d’ESET viennent de mettre la main sur PromptSpy, un logiciel espion Android d’un genre nouveau. Sa particularité : il exploite le modèle Gemini de Google en temps réel pour adapter son comportement selon le téléphone infecté. C’est la première fois qu’un malware Android intègre l’IA générative directement dans son fonctionnement, selon BleepingComputer qui a relayé la découverte.
Concrètement, le malware a un problème simple. Sur Android, chaque constructeur gère les applications récentes à sa manière. Samsung, Xiaomi, Pixel, chacun a ses propres menus et boutons. Pour un virus classique, c’est un casse-tête : impossible de scripter une action qui marche partout. PromptSpy, lui, envoie une capture de l’écran à Gemini avec le code XML de l’interface. L’IA analyse les boutons visibles et renvoie des instructions précises, au format JSON, pour verrouiller l’application dans la liste des applis récentes. Résultat : le malware reste actif en arrière-plan, quoi qu’il arrive.
Un espion complet derrière la façade
L’IA, c’est la cerise sur le gâteau. Mais le vrai danger de PromptSpy, c’est tout le reste. Le malware embarque un module VNC complet qui donne aux attaquants un accès total au téléphone à distance. Écran visible, contrôle en temps réel. D’après le rapport d’ESET publié sur WeLiveSecurity, le logiciel peut intercepter les codes PIN de déverrouillage, filmer la saisie du schéma de déverrouillage en vidéo, capturer des screenshots à la demande et lister toutes les applications installées.
Et pour compliquer la désinstallation, PromptSpy place des rectangles transparents invisibles par-dessus les boutons « désinstaller » ou « arrêter ». L’utilisateur croit appuyer sur le bon bouton, mais tape en réalité dans le vide. La seule solution : redémarrer en mode sans échec Android pour couper les applis tierces.
Développé en Chine, distribué en Argentine
Les indices relevés par ESET pointent vers un environnement de développement sinophone. Les premiers échantillons sont apparus sur VirusTotal en janvier 2026 depuis Hong Kong, suivis d’une version plus avancée uploadée depuis l’Argentine en février. Le malware se faisait passer pour une application bancaire de JPMorgan Chase via un faux site web dédié.
ESET précise ne pas avoir détecté PromptSpy dans sa télémétrie, ce qui laisse planer le doute : simple preuve de concept ou attaque réelle ? L’existence d’un domaine de distribution dédié et d’un site bancaire contrefait suggère que le logiciel a pu être utilisé en conditions réelles.
Le début d’une nouvelle ère pour les malwares
Ce n’est pas le premier malware dopé à l’IA qu’ESET découvre. En août 2025, la même équipe avait identifié PromptLock, un rançongiciel qui s’appuyait sur l’intelligence artificielle. Mais PromptSpy marque un tournant. L’utilisation de l’IA générative pour naviguer dans l’interface d’un téléphone ouvre la porte à des malwares capables de s’adapter à n’importe quel appareil, n’importe quelle version d’Android, sans que les développeurs aient besoin de coder chaque cas de figure.
Google Play Protect détecte les versions connues de PromptSpy. Mais le principe est posé, et il est inquiétant.
