Cette application bancaire est en fait un malware !

Selon l’éditeur de logiciels de sécurité ESET, des chercheurs ont découvert un malware sur Android déguisé en application bancaire. Celui-ci est diffusé sous le nom de « MorganArg ». Il s’agit d’une version contrefaite de l’application Chase/JPMorgan. Plus précisément, sa véritable identité est le logiciel malveillant PromptSpy. L’application ne se répand pas par le biais des boutiques d’applications officielles, mais plutôt de sites web falsifiés. Cette campagne de piratage observée jusqu’à présent vise surtout les utilisateurs situés en Argentine. Cependant, la technique utilisée serait en principe utilisable partout.

Pourquoi l’IA est ici plus qu’un terme vague

Une fois l’application installée et active, celle-ci permettrait de prendre le contrôle d’une majeure partie du smartphone. ESET parle, entre autres, de fonctionnalités telles que l’aperçu en direct de l’écran, la lecture des saisies, l’interception du code de verrouillage et l’exécution d’actions à distance. Dans les faits, cela signifie que les pirates peuvent se comporter comme s’ils détenaient votre appareil. Cela veut dire qu’ils ont accès aux applications, aux messages et potentiellement aux fonctionnalités bancaires.

Selon ESET, le facteur le plus important n’est pas seulement l’accès à distance, mais la manière dont le logiciel malveillant s’intègre au système. Au lieu de travailler sur la base de séquences de clics définis et préprogrammées, PromptSpy transmettrait le contenu de l’écran en temps réel au modèle d’IA de Google, Gemini. Gemini analyse ensuite l’interface comme un être humain et fournit des instructions étape par étape concernant les boutons sur lesquels appuyer pour que l’application ne se ferme pas et reste active.

Lukas Stefanko, chercheur chez ESET, décrit le principe ainsi : Le logiciel malveillant se fait expliquer par l’IA ce qu’il faut faire ensuite. L’avantage pour les criminels est évident : si les instructions sont obtenues en étudiant l’écran en cours, le code malveillant n’a donc pas besoin d’être adapté précisément aux différentes interfaces des fabricants ou aux versions d’Android. Dans ce contexte, ESET rappelle une découverte faite tantôt : en août 2025 déjà, un ransomware utilisant l’IA portait déjà le nom de « PromptLock ». PromptSpy serait donc la prochaine étape d’évolution vers la création d’un malware « adaptable ».

Comment reconnaître le danger au quotidien

Ce virus, camouflé en tant qu’application bancaire, se sert d’un réflexe typique manifesté par les utilisateurs : la propension à l’installation rapide, la connexion rapide, l’accord immédiat d’autorisations. La situation devient particulièrement critique lorsqu’une application demande l’obtention d’autorisations pour des fonctions d’aide liées à l’utilisation (« Accessibility »). Ces fonctions sont en fait destinées à l’assistance au quotidien, mais permettent des interventions en profondeur. Selon ESET, les logiciels malveillants sur Android se servent régulièrement de celles-ci de manière abusive.

ESET parle également d’une ruse qui rend la suppression plus difficile : l’instauration d’éléments invisibles pour bloquer des boutons. Cela fait partie de l’objectif d’empêcher la victime, le cas échéant, d’arrêter ou de désinstaller l’application.

La protection la plus efficace est également la plus banale de toutes : il ne faut installer des applications qu’à partir de sources officielles comme le Google Play Store. Vous devez absolument éviter d’installer de prétendues applications bancaires venant de « sites spéciaux », et ce même si elles ont une apparence professionnelle. Si vous pensez que ce problème affecte votre appareil, ESET recommande de le redémarrer en mode sans échec. Dans cet état, de nombreuses applications ne sont pas actives, ce qui permet de supprimer plus facilement les applications nuisibles. En outre, si Google Play Protect est actif, les appareils Android sont protégés contre les versions connues de ces logiciels malveillants.