ESET Research vient de découvrir la toute première menace Android utilisant l’IA générative, elle s’appelle PromptSpy. Il s’agit du premier malware Android qui utilise l’IA générative dans son flux d’exécution.
PromptSpy est le tout premier malware Android qui utilise l’IA générative
Ce malware peut capturer les données de l’écran de verrouillage, bloquer les tentatives de désinstallation, collecter des informations sur l’appareil, prendre des captures d’écran, enregistrer l’activité de l’écran sous forme de vidéo, etc. Il s’agit du deuxième malware basé sur l’IA sur lequel l’entreprise est tombée, après PromptLock de l’année dernière. Il s’agissait du premier cas de ransomware piloté par l’IA.
ESET Research dit que « Cette campagne semble être motivée par des raisons financières », et il cible avant tout les utilisateurs d’Argentine. Elle fonde la conclusion concernant la motivation financière sur des indices de localisation linguistique et sur les vecteurs de distribution.
Gemini est utilisé pour fournir à PromptSpy des instructions étape par étape
La source dit que « Gemini est utilisé pour fournir à PromptSpy des instructions étape par étape sur la façon de rendre l’application malveillante « verrouillée », c’est-à-dire épinglée, dans la liste des applications récentes (souvent représentée par une icône de cadenas dans la vue multitâche de nombreux lanceurs Android), empêchant ainsi qu’elle soit facilement glissée ou tuée par le système. «
Le chercheur d’ESET, Lukáš Štefanko, la personne qui a découvert PromptSpy, a déclaré : « Étant donné que les logiciels malveillants Android s’appuient souvent sur une navigation basée sur l’interface utilisateur, l’exploitation de l’IA générative permet aux auteurs de menaces de s’adapter à plus ou moins à n’importe quel appareil, configuration ou version du système d’exploitation, ce qui peut considérablement augmenter le bassin de victimes potentielles. »
Son objectif principal est de déployer un module VNC intégré, permettant ainsi aux opérateurs d’accéder à distance à l’appareil de la victime. Ce malware abuse également des services d’accessibilité pour bloquer la désinstallation avec des superpositions invisibles, capture les données de l’écran de verrouillage et enregistre l’activité de l’écran sous forme de vidéo.
Ce malware n’a jamais été disponible via Google Play Store
On note également que PromptSpy est distribué via un site Internet dédié et n’a jamais été disponible sur Google Play. ESET affirme avoir partagé ses découvertes avec Google ; Cependant, malgré le fait que les utilisateurs d’Android sont automatiquement protégés contre les versions connues de ce malware par Google Play Protect.
Le nom de l’application (qui contient ce malware) est « MorganArg » et l’icône est inspirée de Morgan Chase. L’application tente évidemment de se faire passer pour la banque Morgan Chase. MorganArg signifie probablement Morgan Argentine.
La seule façon de le désinstaller est via le mode sans échec
ESET a également noté que le seul moyen de se débarrasser de cette application est de démarrer le téléphone en mode sans échec, sinon sa désinstallation est bloquée.
