.jpg)
-2.png)
L'intelligence artificielle générative vient de franchir un cap préoccupant dans le paysage de la cybersécurité mobile. En février 2026, les chercheurs d'ESET ont révélé l'existence de PromptSpy, le tout premier malware Android capable d'exploiter un modèle d'IA générative, en l'occurrence Google Gemini, directement dans sa chaîne d'exécution.
Ce n'est plus de la théorie : un logiciel malveillant dialogue désormais avec une intelligence artificielle pour comprendre ce qu'il voit à l'écran, décider quoi faire, et agir en conséquence. Une évolution qui change profondément la nature des menaces pesant sur les terminaux mobiles en entreprise.
Un processus d'infection classique, une exécution inédite
PromptSpy se présente sous l'apparence d'une application bancaire légitime. Une fois en place, le malware sollicite l'activation des services d'accessibilité Android, une autorisation qui lui donne un accès étendu à l'interface du terminal.
Son objectif : déployer un module VNC (Virtual Network Computing), un protocole de prise de contrôle à distance. Les attaquants peuvent alors visualiser l'écran en temps réel, saisir du texte et naviguer sur l'appareil comme s'ils le manipulaient physiquement. PromptSpy est également en mesure de capturer le code PIN de l'écran de verrouillage, d'enregistrer l'activité en vidéo et de bloquer toute tentative de désinstallation via des surcouches invisibles.
Mais ce qui le rend inédit, c'est la manière dont il orchestre ces actions. Les malwares traditionnels reposent sur des scripts rigides qui échouent dès que l'interface varie d'un appareil à l'autre. PromptSpy adopte une approche radicalement différente : il exploite l'IA générative Google Gemini pour analyser l'écran et décider quoi faire en temps réel. Comme le souligne le chercheur Lukas Stefanko d'ESET, l'IA permet au malware de s'adapter à pratiquement n'importe quel appareil, taille d'écran ou disposition d'interface.
Comment le malware utilise concrètement l'IA Gemini pour piloter ses actions
La clé API Gemini et les prompts sont codés dans le malware par l'attaquant. Une fois déployé sur le terminal, PromptSpy fonctionne de manière totalement autonome, sans intervention humaine. Il interagit avec Gemini de la même manière qu'un utilisateur échangerait avec ChatGPT ou tout autre assistant IA : il envoie un fichier XML décrivant l'état complet de l'écran (texte affiché, type d'élément, position exacte) accompagné d'une consigne en langage naturel. Gemini analyse le contexte et répond avec des instructions précises. Le malware exécute l'action, renvoie l'état mis à jour de l'écran, et l'IA fournit l'étape suivante. Ce dialogue se poursuit en boucle jusqu'à ce que l'objectif soit atteint.
L'attaquant n'a pas besoin d'être derrière son écran pour piloter les actions, le malware agit seul grâce à l'IA. Cette approche conversationnelle rend le malware extrêmement résilient : si un bouton change de place ou si un menu est organisé différemment d'un téléphone à l'autre, l'IA s'adapte instantanément. De plus, elle simplifie considérablement le travail des attaquants. Plus besoin de coder des scénarios spécifiques pour chaque modèle de smartphone ou chaque version d'Android, une simple consigne en langage naturel suffit.
L'objectif immédiat de cette boucle est de verrouiller l'application malveillante dans la liste des applications récentes d'Android pour ensuite déployer le module VNC.
Les protections natives ne suffisent plus face aux malwares dopés à l'IA
PromptSpy n'est pas un cas isolé. Il avait déjà été démontré que des IA génératives telles que ChatGPT pouvaient être manipulées pour générer des malwares, et en août 2025, ESET avait identifé PromptLock, le premier ransomware exploitant l'IA générative. Avec PromptSpy, la tendance se confirme : les cybercriminels intègrent désormais l'intelligence artificielle générative directement dans leurs outils offensifs, rendant les menaces mobiles plus adaptatives et plus difficiles à détecter.
Google a indiqué que Play Protect protège automatiquement les utilisateurs contre les versions connues de ce malware. Mais cette protection reste réactive et limitée, en particulier dans un contexte professionnel où les entreprises gèrent des flottes hétérogènes, font face au BYOD et à l'installation d'applications hors stores officiels.
Une solution de protection mobile dédiée est maintenant indispensable
C'est précisément pour répondre à ces enjeux et aux limites des protections natives qu’une solution de protection mobile est nécessaire.
Pradeo Mobile Threat Defense offre une protection en temps réel des terminaux mobiles, en s'appuyant sur une analyse comportementale avancée des applications, du réseau et du système. Contrairement aux approches basées uniquement sur des signatures connues, la solution Pradeo détecte les comportements suspects et les malwares 0-days.
Dans un contexte où les menaces comme PromptSpy montrent que l'intelligence artificielle peut être retournée contre les utilisateurs, s'appuyer sur une solution de protection mobile dédiée n'est plus une option, c'est une nécessité.
.jpg?height=100&name=1711636314862%20(1).jpg)
-1.png)
