Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

PromptSpy is the first known Android malware to use generative AI at runtime

3 minute de lecture

Mis à jour :

PromptSpy : Le malware Android qui utilise l’IA générative pour sa persistance

Une nouvelle famille de logiciels malveillants Android, baptisée “PromptSpy”, a été découverte. Elle se distingue par son utilisation de l’intelligence artificielle générative, en l’occurrence le modèle Gemini de Google, pour s’assurer de sa persistance sur les appareils infectés.

Points Clés :

  • Première utilisation d’IA générative par un malware Android : Contrairement aux malwares précédents qui utilisaient l’apprentissage automatique pour des tâches spécifiques comme la détection de fraudes publicitaires, PromptSpy intègre l’IA générative directement dans son flux d’exécution.
  • Mécanisme de persistance innovant : L’objectif principal de cette IA est de contourner la difficulté pour les malwares de scripter correctement le blocage (“pinning”) d’applications dans la liste des applications récentes, une méthode de persistance qui varie selon les fabricants de téléphones.
  • Fonctionnalité d’espionnage : Au-delà de sa capacité d’adaptation, PromptSpy fonctionne comme un logiciel espion. Il peut accéder à distance à l’appareil grâce à un module VNC s’il obtient les permissions d’Accessibilité.

Fonctionnement de PromptSpy :

Le malware envoie au modèle Gemini une requête incluant une description de l’écran actuel de l’appareil (éléments UI, textes, types de classes, coordonnées). Gemini renvoie alors des instructions au format JSON pour réaliser l’action souhaitée. PromptSpy exécute ces instructions via le service d’Accessibilité Android, puis renvoie l’état mis à jour de l’écran pour que l’IA confirme le succès du blocage de l’application. Ce processus peut se répéter en boucle.

Capacités du Malware :

  • Télécharger la liste des applications installées.
  • Intercepter les codes PIN ou mots de passe de l’écran de verrouillage.
  • Enregistrer l’écran de déverrouillage par schéma sous forme vidéo.
  • Capturer des captures d’écran à la demande.
  • Enregistrer l’activité de l’écran et les gestes de l’utilisateur.
  • Rapporter l’application actuellement au premier plan et l’état de l’écran.

Mécanismes d’anti-désinstallation :

Pour rendre sa suppression difficile, PromptSpy superpose des rectangles transparents et invisibles sur les boutons de l’interface utilisateur lors des tentatives de désinstallation ou de désactivation des permissions d’Accessibilité. Cliquer sur un bouton pour “arrêter”, “terminer”, “effacer” ou “désinstaller” conduit en réalité à cliquer sur ces boutons invisibles, bloquant ainsi le processus. La seule manière de le désinstaller est de redémarrer l’appareil en mode sans échec.

Vulnérabilités exploitées :

Il n’y a pas de CVE spécifique mentionné dans l’article pour des vulnérabilités logicielles exploitées par PromptSpy. Le malware exploite plutôt les fonctionnalités légitimes d’Android :

  • Service d’Accessibilité Android : Permet aux applications d’interagir avec l’interface utilisateur de manière programmatique.
  • Blocage des applications récentes : Fonctionnalité légitime pour empêcher la fermeture des processus en arrière-plan, détournée par le malware pour assurer sa propre persistance.

Recommandations :

  • Vigilance accrue : Les utilisateurs doivent être prudents quant aux applications qu’ils installent, en particulier celles demandant des permissions d’Accessibilité.
  • Sources de téléchargement fiables : Télécharger des applications uniquement depuis des sources officielles et réputées.
  • Vérification des permissions : Examiner attentivement les permissions demandées par les applications avant de les accorder.
  • Mode sans échec pour la désinstallation : En cas d’infection, redémarrer en mode sans échec pour pouvoir désinstaller le logiciel malveillant.
  • Mises à jour régulières : Maintenir le système d’exploitation Android et les applications à jour pour bénéficier des derniers correctifs de sécurité.

Bien que l’on ignore si PromptSpy est une preuve de concept ou un malware déjà actif, son utilisation de l’IA générative démontre une nouvelle approche pour les acteurs malveillants, leur permettant d’automatiser et de dynamiser leurs attaques.

Source

Vous pourriez aimer