À quel point l’IA déterminera les cyberattaques du futur ?

Alors que les évolutions sont scrutées de près par les experts en menaces cyber, ESET a dévoilé le 19 février 2026 un rapport autour d’un nouveau malware baptisé PromptSpy. Un rapport publié quelques mois après la découverte du premier prototype de ransomware piloté par IA.

Ici l’objectif est avant tout la prise de contrôle de l’appareil et l’exfiltration de données.

PromptSpy est présenté comme le premier logiciel malveillant Android à exploiter l’IA générative dans son flux d’exécution.

Votre vie privée doit rester privée.

Face aux cyberattaques, déjouez les pronostics. Les nouvelles arnaques sont plus complexes et plus sophistiquées, alors ne devenez pas une victime de plus, il existe des solutions performantes et accessibles.

Le LLM mis à contribution ? Gemini de Google. Le rôle du LLM n’est pas de déterminer une tactique d’intrusion ou de déployer la charge utile, mais de permettre au malware de rester inexorablement actif dans le téléphone de la cible.

Dans les instructions codées en dur, Gemini est invité à analyser le contenu du téléphone cible comme un assistant d’automatisation Android. // Source : ESET

Gemini sert à analyser l’écran de la victime

Bien que l’IA n’occupe qu’une partie mineure du code, son impact est stratégique : elle rend PromptSpy plus adaptable et persistant, en s’assurant que l’application infectée reste dans la liste des applications récemment utilisées.

Pourquoi donc ? Parce que, pour optimiser les ressources, le système ferme automatiquement les applications en arrière-plan, à moins qu’elles n’aient été explicitement « verrouillées » par l’utilisateur.

Problème : le geste permettant ce verrouillage varie selon les constructeurs, les versions d’Android ou encore les interfaces personnalisées, ce qui rend inopérante l’utilisation de scripts statiques habituellement employés par les malwares.

C’est là que l’approche inédite avec Gemini devient intéressante. Le logiciel malveillant envoie à l’IA une description complète de l’écran actuel, incluant le texte, la nature et la position exacte de chaque élément d’interface. Gemini analyse ces informations et renvoie des instructions précises : gestes à effectuer (clic, balayage) et emplacement exact sur l’écran.

PromptSpy conserve l’historique de ces échanges, ce qui permet à Gemini de comprendre le contexte d’une interaction à l’autre. Le logiciel répète la séquence jusqu’à ce que l’IA confirme que l’application a bien été verrouillée.

Les prémices d’une menace généralisée ?

Rester continuellement actif est un enjeu majeur pour PromptSpy dont l’objectif principal est d’établir un contrôle total à distance sur l’appareil infecté. Pour cela, il installe un module VNC (technologie normalement utilisée pour l’assistance à distance) permettant aux attaquants de voir l’écran en temps réel et d’interagir avec le téléphone comme s’ils l’avaient physiquement en main.

Au-delà de ce contrôle visuel, PromptSpy offre des capacités d’espionnage avancées : capture des mots de passe saisis à l’écran de verrouillage, enregistrement de vidéos d’activité écran, et inventaire complet des applications installées.

Le rapport précise que le malware a été diffusé via un faux site web bancaire (jamais sur Google Play), et que cette campagne reste de portée limitée. Les chercheurs y voient un prototype ou proof-of-concept, conçu pour tester une approche inédite de cyberespionnage Android.