La société de sécurité ESET a identifié PromptSpy, un code malveillant pour Android qui marque un précédent. Il s'agit du premier virus qui utilise l'API du chatbot d'intelligence artificielle Google Gemini pour opérer sur des dispositifs compromis. L'objectif principal de cette campagne semble être en Argentine, et l'analyse du code suggère que ses développeurs pourraient être en Chine.
Mécanisme d'infection et de persistance par IA 🕵️
PromptSpy se distribue sous forme d'une fausse application Telegram. Une fois installé, il demande des permissions d'accessibilité. Sa fonction clé est d'ouvrir silencieusement le navigateur web, de se connecter à l'interface web publique de Google Gemini et d'utiliser des prompts prédéfinis pour générer des réponses. Ces réponses, qui sont des instructions en code Python, sont ensuite exécutées sur le dispositif par un interpréteur intégré, permettant au malware de voler des données et de maintenir le contrôle sans nécessité de mettre à jour son propre code.
Quand votre assistant IA travaille pour l'ennemi 😈
La situation a son point comique : maintenant votre smartphone peut être piraté par des instructions qui sortent directement du chatbot de Google. C'est comme si le malware avait décidé de sous-traiter son travail le plus technique. Au lieu de porter tout le code malveillant sur le dos, il préfère demander à Gemini de le lui écrire à la demande. Un cas clair où l'automatisation arrive aussi du côté obscur, où même les virus veulent être plus efficaces et demander de l'aide pour faire leur sale boulot.