PromptSpy, le malware mobile qui utilise l'IA pour survivre

Les cybercriminels exploitent désormais l'intelligence artificielle pour créer des logiciels malveillants capables de s'adapter en temps réel et de contourner les protections de nos smartphones.

L'intelligence artificielle ne sert pas qu'à rédiger des courriels ou générer des images. Entre les mains des cybercriminels, elle devient une arme d'un genre nouveau. La découverte récente de PromptSpy, premier malware Android à exploiter Google Gemini dans sa chaîne d'attaque, ouvre des horizons préoccupants pour l'avenir de la cybersécurité… C'est le chercheur Lukas Stefanko, de la société slovaque ESET, qui a tiré la sonnette d'alarme mi-février : ce logiciel malveillant utilise en effet l'IA de Google pour analyser en temps réel l'écran du smartphone infecté. Concrètement, le malware capture un cliché de l'interface affichée, l'envoie à Gemini sous forme de code accompagné d'un prompt, puis reçoit en retour des instructions pour interagir avec le téléphone, en toute autonomie. Le virus devient ainsi capable de naviguer de manière autonome dans les paramètres du système, de se verrouiller dans les applications récentes et de bloquer toute tentative de désinstallation en déployant des superpositions invisibles.

Virus omniscient

PromptSpy n'est pas un cas isolé. Il s'inscrit dans une lignée de malwares dits « augmentés par l'IA » identifiés depuis l'été 2025. En août de cette année-là, ESET avait déjà repéré PromptLock, considéré comme le premier rançongiciel Android à recourir à l'intelligence artificielle. Quelques mois plus tard, Google lui-même signalait PromptFlux, un programme capable de muter en permanence grâce à Gemini pour échapper aux antivirus. La mécanique est toujours la même : au lieu de suivre un script figé, ces malwares interrogent un modèle de langage pour adapter leur comportement en fonction du contexte. Chaque appareil infecté reçoit ainsi un traitement sur mesure, rendant la détection par signatures classiques pratiquement impossible.

Les cyberattaques font des ravages

Les chiffres donnent le vertige. Selon une étude publiée en février par Programs.com, plus de 80 % des cyberattaques intègrent désormais une composante d'intelligence artificielle. Les deepfakes ont augmenté de 2 000 % depuis 2022, et trois victimes sur quatre d'arnaques vocales générées par IA perdent de l'argent. Chaque jour, ce sont 3,4 milliards d'e-mails de phishing qui sont expédiés à travers le monde, une part croissante d'entre eux étant rédigés par des modèles de langage capables de produire des messages sans la moindre faute d'orthographe, dans n'importe quelle langue. La barrière technique qui protégeait autrefois les utilisateurs — un français approximatif, des tournures maladroites — a tout simplement disparu.

La confiance : cible ultime

Au-delà des virus, l'IA ouvre d'autres brèches inquiétantes. Des chercheurs de l'École polytechnique fédérale de Zurich (ETH Zurich) ont démontré début mars que les grands modèles de langage sont capables de désanonymiser des comptes en ligne de manière automatique, rapide et peu coûteuse. En clair, un pseudonyme ne suffit plus à protéger une identité sur internet. Parallèlement, l'IA générative est utilisée pour injecter de fausses sources dans les traductions Wikipedia. Le détournement de l'intelligence artificielle ne se limite donc pas au piratage classique : il s'attaque à la confiance même que l'on accorde aux informations en ligne.

La prudence est de mise

Face à cette menace, les géants de la tech tentent de réagir. Google assure que son système Play Protect détecte automatiquement les versions connues de PromptSpy et précise qu'aucune distribution n'a eu lieu via le Play Store officiel. Pour tenter d'éviter ce nouveau fléau, les experts en cybersécurité recommandent de ne jamais installer d'applications en dehors des boutiques officielles, d'activer les mises à jour automatiques du système et de se méfier de tout message, même parfaitement rédigé, qui invite à télécharger un fichier ou à cliquer sur un lien imprévu.