Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

PromptSpy Android Malware Abuses Gemini AI to Automate Recent-Apps Persistence

2 minute de lecture

Mis à jour :

PromptSpy : Le Malware Android Utilisant l’IA pour sa Persistance

Une nouvelle forme de logiciel malveillant Android, baptisée PromptSpy, a été découverte. Ce malware se distingue par son utilisation innovante de l’intelligence artificielle générative Gemini de Google pour automatiser sa persistance sur les appareils infectés.

Points Clés :

  • Utilisation de Gemini pour la persistance : PromptSpy exploite Gemini pour analyser l’écran de l’appareil et obtenir des instructions afin de maintenir l’application dans la liste des applications récentes, la rendant ainsi difficile à fermer ou à désinstaller.
  • Automatisation des actions : L’IA permet au malware de s’adapter à différents appareils, agencements d’interface et versions du système d’exploitation, élargissant ainsi le potentiel de victimes.
  • Vol de données et contrôle : Le logiciel malveillant est capable de capturer des données de l’écran de verrouillage, de prendre des captures d’écran, d’enregistrer l’activité de l’écran sous forme vidéo et d’accorder un accès à distance via un module VNC.
  • Méthode d’installation insidieuse : Il est distribué via un site web dédié et un site web imitant JPMorgan Chase, incitant les victimes à autoriser l’installation d’applications provenant de sources inconnues.
  • Ciblage probable : Les indices suggèrent une campagne axée sur des motivations financières et ciblant des utilisateurs en Argentine, bien que le développement semble provenir d’un environnement sinophone.

Vulnérabilités et Exploitations :

Bien que l’article ne mentionne pas de CVEs spécifiques pour PromptSpy, il exploite :

  • La confiance de l’utilisateur : Utilisation de sites web trompeurs et d’une fausse identité bancaire pour inciter à l’installation.
  • Les services d’accessibilité Android : Permettent au malware d’exécuter des actions sans interaction de l’utilisateur et de rendre la désinstallation plus complexe.
  • La fonction “Applications récentes” : Utilisée comme mécanisme de persistance, rendant le retrait manuel difficile sans connaissances techniques.

Recommandations :

  • Prudence lors du téléchargement d’applications : Ne télécharger des applications que depuis des sources officielles comme le Google Play Store.
  • Désactivation de l’installation depuis des sources inconnues : Désactiver le paramètre permettant l’installation d’applications depuis des sources inconnues dans les paramètres de sécurité Android.
  • Surveillance des applications suspectes : Examiner attentivement les autorisations demandées par les applications.
  • Redémarrage en mode sans échec pour la suppression : En cas d’infection, redémarrer l’appareil en mode sans échec est la méthode recommandée pour désinstaller des applications tierces, y compris PromptSpy.
  • Mises à jour régulières : Maintenir le système d’exploitation Android et les applications à jour pour bénéficier des derniers correctifs de sécurité.

Source

Vous pourriez aimer