Devis de remise multi-licences
Données concernant les menaces Logiciels malveillants mobiles Logiciel malveillant PromptSpy pour Android

Logiciel malveillant PromptSpy pour Android

Par Mezo en Logiciels malveillants mobiles
Se traduisent par :

Des chercheurs en cybersécurité ont identifié ce qui semble être le premier logiciel malveillant Android à exploiter Gemini, le chatbot d'intelligence artificielle générative de Google, dans son processus opérationnel. Cette nouvelle menace, baptisée PromptSpy, intègre la prise de décision pilotée par l'IA à sa chaîne d'exécution et à sa stratégie de persistance.

PromptSpy est doté de capacités de surveillance et de contrôle étendues. Il permet notamment de récupérer les identifiants de verrouillage d'écran, de bloquer les tentatives de désinstallation, de collecter des informations détaillées sur l'appareil, de capturer des captures d'écran et d'enregistrer l'activité à l'écran sous forme de vidéo. L'objectif principal de ce logiciel malveillant est de déployer un module VNC (Virtual Network Computing) intégré, offrant ainsi aux attaquants un accès à distance aux appareils compromis.

L’IA comme moteur d’automatisation : comment Gemini permet la persistance

Contrairement aux logiciels malveillants Android traditionnels qui s'appuient sur des parcours de navigation prédéfinis au sein de l'interface utilisateur, PromptSpy exploite l'IA générative pour interpréter et interagir dynamiquement avec les écrans de l'appareil. En intégrant un modèle d'IA et une invite codés en dur, le logiciel malveillant attribue à l'agent IA le rôle d'« assistant d'automatisation Android ».

Le processus d'infection consiste à transmettre à Gemini une requête en langage naturel ainsi qu'une capture XML de l'écran actuel. Ce fichier XML contient des données détaillées sur chaque composant d'interface utilisateur, notamment les libellés, les types d'éléments et leurs coordonnées exactes à l'écran. Gemini traite ces données et renvoie des instructions JSON structurées indiquant au logiciel malveillant les actions à effectuer, comme cliquer sur des éléments d'interface spécifiques, et à quel endroit les exécuter.

Cette interaction en plusieurs étapes, guidée par l'IA, se poursuit jusqu'à ce que l'application malveillante soit épinglée avec succès à la liste des applications récentes. En restant bloquée dans cet état, l'application résiste à toute tentative de fermeture par le système d'exploitation, assurant ainsi sa persistance. L'utilisation de l'IA élimine la dépendance à des séquences de clics prédéfinies, permettant au logiciel malveillant de s'adapter parfaitement à différents appareils, interfaces et versions d'Android, et d'accroître considérablement son nombre potentiel de victimes.

Abus d’accessibilité et infrastructure de contrôle à distance

PromptSpy exploite les services d'accessibilité d'Android pour exécuter des instructions générées par IA sans intervention de l'utilisateur. Grâce à ces services, il peut manipuler l'interface de l'appareil par programmation tout en restant invisible.

Ses capacités opérationnelles comprennent :

  • Interception des codes PIN, mots de passe et schémas de déverrouillage de l'écran de verrouillage
  • Capture d'écran et enregistrement de l'activité de l'écran à la demande
  • Bloquer les tentatives de suppression en superposant des éléments d'interface utilisateur invisibles
  • Établissement d'un accès à distance via un module VNC intégré

Le logiciel malveillant communique avec un serveur de commande et de contrôle (C2) intégré au système, à l'adresse IP « 54.67.2.84 », via le protocole VNC. Il récupère également la clé API Gemini auprès de ce serveur, permettant ainsi la poursuite des opérations pilotées par l'IA. Des superpositions invisibles empêchent les utilisateurs de désinstaller l'application, piégeant ainsi les victimes tant qu'elles n'ont pas pris de mesures correctives spécifiques.

Chaîne d’infection et tactiques d’ingénierie sociale

PromptSpy n'est pas distribué via les plateformes de téléchargement d'applications officielles telles que Google Play. Il est plutôt diffusé par le biais d'un site web malveillant dédié, « mgardownload.com », qui propose un programme d'installation. Une fois installé et exécuté, ce programme redirige les victimes vers un autre site, « m-mgarg.com ».

L'opération se fait passer pour JPMorgan Chase sous le nom de code « MorganArg », en référence à Morgan Argentina. Les victimes sont manipulées pour obtenir l'autorisation d'installer des applications provenant de sources inconnues. Ensuite, le programme d'installation contacte son serveur afin de récupérer un fichier de configuration contenant un lien permettant de télécharger un fichier APK supplémentaire, présenté en espagnol comme une mise à jour légitime. Lors d'analyses ultérieures, le serveur de configuration s'est avéré hors ligne, rendant l'URL exacte du fichier malveillant indéterminée.

PromptSpy est considéré comme une évolution avancée d'une menace Android auparavant non documentée, connue sous le nom de VNCSpy.

Indices d’attribution et modèles de ciblage

L'analyse des artefacts linguistiques et des mécanismes de distribution suggère que la campagne est motivée par des motivations financières et cible principalement les utilisateurs argentins. Cependant, des indicateurs techniques révèlent que le logiciel malveillant a probablement été développé dans un environnement sinophone, comme en témoignent les chaînes de débogage en chinois simplifié intégrées au code source.

Défis liés à l’élimination et implications défensives

En raison de l'utilisation de superpositions invisibles et de l'exploitation des failles d'accessibilité par le logiciel malveillant, les méthodes de désinstallation classiques sont inefficaces. La seule solution fiable consiste à redémarrer l'appareil en mode sans échec, où les applications tierces sont désactivées, ce qui permet de supprimer PromptSpy.

L'apparition de PromptSpy souligne une évolution majeure dans la conception des logiciels malveillants Android. En exploitant l'IA générative pour interpréter les éléments à l'écran et déterminer dynamiquement les stratégies d'interaction, les acteurs malveillants acquièrent une adaptabilité jusqu'alors inaccessible avec des scripts d'automatisation statiques. Au lieu de s'appuyer sur des parcours d'interaction rigides et prédéfinis, le logiciel malveillant fournit simplement à l'IA une capture d'écran et reçoit en retour des instructions précises et détaillées.

Cette évolution signale un tournant vers des menaces mobiles plus autonomes, résilientes et indépendantes des appareils, marquant une étape inquiétante dans la convergence de l'intelligence artificielle et de la cybercriminalité.

Tendance

American Express - Arnaque par e-mail : Mise à jour...

Hameçonnage, Courrier indésirable
Il est essentiel de rester vigilant face aux courriels inattendus dans l'environnement numérique actuel. Les cybercriminels usurpent fréquemment l'identité de marques de confiance pour inciter les destinataires à divulguer des informations sensibles. L'escroquerie par courriel dite « American Express - Mise à jour d'accès au compte requise » est un exemple de ce type de campagne...

Arnaque par e-mail : un document privé a été préparé.

Hameçonnage, Courrier indésirable
Il est essentiel de rester vigilant face aux courriels non sollicités ou inattendus dans le contexte actuel des menaces informatiques. Les cybercriminels dissimulent fréquemment des messages frauduleux sous l'apparence de communications légitimes afin d'inciter les destinataires à divulguer des informations sensibles. Les courriels du type « Un document privé a été préparé » ne sont associés à...

Le plus regardé

Chargement...