PromptSpy Android Malware Abuses Gemini AI to Automate Recent-Apps Persistence

PromptSpy : Le Premier Malware Android Exploitant l’IA pour Persister

Une nouvelle menace Android, baptisée PromptSpy, se distingue par son utilisation novatrice de l’intelligence artificielle générative, Gemini de Google, afin d’assurer sa persistance sur les appareils infectés. Ce malware a la capacité de capturer des données de l’écran de verrouillage, d’empêcher sa désinstallation, de collecter des informations sur l’appareil, de prendre des captures d’écran et d’enregistrer l’activité de l’écran sous forme vidéo.

L’IA Gemini est intégrée dans le flux d’exécution du malware pour analyser l’interface utilisateur de l’appareil et fournir des instructions précises sur la manière de maintenir l’application malveillante dans la liste des applications récentes. Cette technique rend sa suppression manuelle ou par le système extrêmement difficile. En exploitant l’IA, les acteurs malveillants peuvent adapter leurs attaques à une multitude de configurations d’appareils, de dispositions d’interface et de versions du système d’exploitation, élargissant ainsi le champ des victimes potentielles.

PromptSpy communique avec un serveur de commande et de contrôle (C2) via le protocole VNC et utilise les services d’accessibilité d’Android pour masquer son action et empêcher sa désinstallation par le biais d’incrustations invisibles. L’objectif principal est d’établir un accès à distance à l’appareil compromis grâce à un module VNC intégré.

Les indices linguistiques et les vecteurs de distribution suggèrent que la campagne vise des utilisateurs en Argentine et est motivée par des gains financiers. Il est également suspecté d’avoir été développé dans un environnement sinophone. La distribution s’effectue via un site web dédié, le malware n’ayant jamais été disponible sur le Google Play Store. Il est considéré comme une évolution avancée d’un malware précédent nommé VNCSpy.

Cette découverte illustre l’évolution des menaces, intégrant désormais des outils d’IA pour automatiser des actions complexes et rendre les malwares plus dynamiques et résilients aux changements d’interface.

Points Clés

• Utilisation de l’IA pour la persistance : PromptSpy est le premier malware Android connu à utiliser l’IA générative (Gemini) pour maintenir sa présence sur l’appareil.
• Automatisation des actions : L’IA analyse l’écran et génère des instructions pour naviguer dans l’interface, assurant le maintien de l’application dans la liste des applications récentes.
• Accès à distance : L’objectif principal est de permettre aux attaquants un contrôle à distance via un module VNC.
• Contournement de la désinstallation : Utilisation des services d’accessibilité pour se dissimuler et empêcher la désinstallation via des éléments invisibles.
• Adaptabilité : L’IA permet au malware de s’adapter à différentes configurations d’appareils et interfaces utilisateur.
• Distribution hors-store : Le malware est distribué via des sites web dédiés, se faisant passer pour des mises à jour légitimes.
• Ciblage : Des indices suggèrent un ciblage financier des utilisateurs en Argentine.

Vulnérabilités

Bien qu’aucun identifiant CVE spécifique ne soit mentionné dans l’article, les vulnérabilités exploitées sont liées à :

• L’abus des services d’accessibilité d’Android pour réaliser des actions automatiques et dissimulées sans interaction utilisateur explicite.
• La capacité d’intégrer des appels API d’IA externes (Gemini) dans le code du malware.
• L’exploitation de la fonctionnalité “applications récentes” d’Android pour la persistance.

Recommandations

• Vigilance accrue face aux téléchargements : Ne télécharger des applications que depuis des sources officielles comme le Google Play Store.
• Prudence avec les permissions : Examiner attentivement les autorisations demandées par les applications, particulièrement celles liées aux services d’accessibilité.
• Mises à jour régulières : Maintenir le système d’exploitation Android et les applications à jour pour bénéficier des derniers correctifs de sécurité.
• Utilisation du mode sans échec : En cas de suspicion d’infection, redémarrer l’appareil en mode sans échec est la méthode recommandée pour désinstaller les applications malveillantes qui résistent à la suppression normale.
• Surveillance des activités suspectes : Être attentif aux comportements inhabituels de l’appareil ou aux demandes d’informations sensibles.

Source