Des applis en apparence inoffensives, des centaines de milliers de téléchargements… et des portefeuilles crypto vidés en toute discrétion. Même l’App Store n’a pas été épargné.
Malgré les contrôles des stores officiels, des applications vérolées ont réussi à s’introduire sur Google Play et l’App Store, embarquant un logiciel malveillant destiné à voler les phrases de récupération des portefeuilles de cryptomonnaies. Baptisé SparkCat, ce malware a potentiellement piégé des centaines de milliers d’utilisateurs et utilisatrices. Mais le plus inquiétant reste sa portée : cette campagne ne s’est pas limitée à Android. Elle marque aussi la première intrusion d’un stealer de ce type dans l’écosystème iOS, pourtant réputé plus hermétique aux menaces.
SparkCat : le malware qui vole vos cryptos… en scannant vos photos
C’est en analysant plusieurs applications Android et iOS hébergées sur les stores officiels que les équipes de recherche de Kaspersky ont identifié un SDK malveillant intégré, sans qu'il soit possible de confirmer s'il s'agit d'une action délibérée des développeurs ou d'une compromission de la chaîne d'approvisionnement.
D’après les recherches, le module vérolé aurait été conçu pour exploiter la reconnaissance optique de caractères (OCR) afin de repérer des phrases de récupération de portefeuilles crypto directement dans les galeries d’images des appareils infectés. Sans surprise, une fois ces informations sensibles identifiées, elles sont immédiatement exfiltrées vers des serveurs distants, permettant aux cybercriminels d’accéder aux fonds des victimes sans difficulté.
Si le mode opératoire varie légèrement selon les plateformes, l’objectif reste le même. Le fichier malveillant, baptisé Spark, se cache derrière un composant d’analyse classique, apparemment légitime. Dans le détail, Spark utilise la bibliothèque Google ML Kit pour passer les images au crible et reçoit ses instructions via des fichiers de configuration chiffrés, hébergés sur GitLab.
10 septembre 2024 à 18h39
Mais ce qui rend SparkCat particulièrement dangereux, c’est sa capacité à opérer de manière discrète. Le stealer n’exige pas toujours immédiatement l’accès aux photos : dans certaines applications, il attend que l’utilisateur ou l’utilisatrice contacte le support par chat pour en faire la demande. Si l'accès est refusé, le malware peut insister en reformulant sa demande, sous prétexte de faciliter l’envoi d’images pour l’assistance.
Une fois la permission accordée, il scanne la galerie à la recherche de phrases de récupération, en plusieurs langues – de l’anglais au chinois, en passant par le coréen, le japonais et le français – avant de les transmettre à des serveurs via un protocole de communication personnalisé, implémenté en Rust et utilisant des sockets TCP. Un choix inhabituel pour des applications mobiles, mais qui complique l'analyse du trafic réseau, et donc la détection du malware.
In fine, ce qui aurait pu passer pour un incident isolé a rapidement pris de l’ampleur. Kaspersky a ainsi identifié 18 applications Android et 10 applications iOS infectées, certaines encore disponibles sur les stores officiels au moment de la découverte. Au total, ces applis compromises cumulaient plus de 242 000 téléchargements. Mais le plus préoccupant n’est pas tant le volume que la nature de l’infection : c’est la première fois qu’un malware de ce type est détecté sur l’App Store, remettant en question l’idée d’une sécurité infaillible sur iOS.
Comment se protéger contre SparkCat et les stealers du même type ?
Face à ce type de menace, la première chose à faire est de vérifier si l’une des applications infectées est installée sur votre appareil (la liste est disponible sur le site de Kaspersky). Le cas échéant, désinstallez-la immédiatement et lancez une analyse complète de votre smartphone à l’aide d’un bon antivirus. Si le doute persiste, une réinitialisation aux paramètres d’usine peut s’avérer nécessaire pour en éradiquer toute trace.
Mais au-delà de cette première mesure d’urgence, la meilleure protection reste la prévention. Stocker des captures de vos phrases de récupération dans la galerie de votre téléphone constitue une faille de sécurité évidente. Préférez conserver ces informations sur des supports physiques hors ligne, comme un document papier sécurisé (coffre-fort), un gestionnaire de mots de passe non connecté à Internet, ou un périphérique de stockage chiffré.
Enfin, restez vigilant lorsque vous installez de nouvelles applications, même depuis les stores officiels. Vérifiez attentivement les permissions demandées par les applications et méfiez-vous si un service exige un accès à votre galerie sans raison apparente, ou de manière trop insistante.
Source : Kaspersky
28 janvier 2025 à 09h35
