Les chercheurs en cybersécurité ont récemment découvert une campagne de malware nommée SparkCat, qui cible à la fois les utilisateurs Android et iOS via des applications malveillantes présentes sur Google Play et l’App Store d’Apple. Ce malware utilise la reconnaissance optique de caractères (OCR) pour extraire des informations sensibles des images stockées dans les galeries des utilisateurs, notamment les phrases de récupération des portefeuilles de cryptomonnaies.
Une menace qui s’infiltre dans les magasins d’applications officiels
Traditionnellement, les logiciels malveillants sont plus fréquents sur Google Play, mais cette campagne marque la première apparition d’un « stealer » OCR sur l’App Store d’Apple. Des applications Android infectées ont été téléchargées plus de 242 000 fois, et plusieurs versions iOS compromises ont également été découvertes.
Parmi les applications infectées identifiées, on retrouve ComeCome, une application de livraison de nourriture, ainsi que plusieurs applications de messagerie et d’intelligence artificielle, comme ChatAi et WeTink.
Comment fonctionne SparkCat ?
Le malware utilise un module OCR intégré via la bibliothèque ML Kit de Google, qui scanne automatiquement les images de la galerie de l’utilisateur. Lorsqu’un texte est détecté, il est analysé pour identifier des mots-clés spécifiques (dans plusieurs langues) liés aux phrases de récupération des portefeuilles de cryptomonnaies.
Si un fichier correspond aux critères, il est envoyé à un serveur contrôlé par les attaquants, qui peuvent alors prendre le contrôle du portefeuille crypto de la victime et voler ses fonds.
Une infection difficile à détecter
L’une des raisons pour lesquelles ce malware est particulièrement dangereux est qu’il ne demande pas de permissions inhabituelles. Il s’active discrètement lors de l’utilisation normale de l’application, notamment lorsque l’utilisateur ouvre un chat de support client.
De plus, l’analyse des versions iOS et Android a montré que SparkCat est écrit en Rust, un langage rarement utilisé pour les applications mobiles, rendant son identification et son analyse plus complexes.
Qui est ciblé ?
Les indices collectés indiquent que les utilisateurs en Europe et en Asie sont les principales cibles de SparkCat. Le malware est cependant suffisamment flexible pour attaquer d’autres régions, et il pourrait être étendu à d’autres types de données sensibles stockées en image, comme des mots de passe ou des informations bancaires.
Comment se protéger ?
Si vous avez installé l’une des applications mentionnées, supprimez-la immédiatement et évitez de la réinstaller tant qu’elle n’a pas été déclarée sûre. Voici quelques conseils supplémentaires :
- Ne stockez pas de phrases de récupération de portefeuilles crypto sous forme de capture d’écran ou d’image dans votre galerie.
- Utilisez une application sécurisée pour stocker vos mots de passe et documents sensibles.
- Installez un logiciel de sécurité fiable sur vos appareils mobiles.
- Soyez vigilant en téléchargeant des applications, même depuis des stores officiels.
Cette découverte rappelle que même l’App Store d’Apple n’est pas totalement sécurisé contre les logiciels malveillants. Il est crucial d’adopter de bonnes pratiques pour protéger ses informations et éviter de devenir la cible d’attaques sophistiquées comme SparkCat.
Suivez-nous sur Google Actualités
