Une nouvelle menace de cybersécurité cible les utilisateurs d’appareils Android et iOS. Selon un rapport de Kaspersky, un kit de développement logiciel (SDK) malveillant a été repéré intégré dans plusieurs applications disponibles sur Google Play et l’App Store d’Apple. Ce SDK, baptisé SparkCat, est conçu pour voler les phrases de récupération des portefeuilles de cryptomonnaies à l’aide de la technologie de reconnaissance optique de caractères (OCR). La campagne a déjà touché des centaines de milliers d’utilisateurs, avec plus de 242 000 téléchargements enregistrés sur le seul Google Play Store.
Le SDK malveillant fonctionne différemment sur les appareils Android et iOS. Sur Android, il utilise un composant Java appelé Spark, qui sert de module d'analyse. Ce composant récupère des fichiers de configuration cryptés depuis GitLab, qui contiennent des commandes et des mises à jour pour le malware. Sur iOS, le framework porte divers noms, tels que Gzip, googleappsdk ou stat, et utilise un module de réseau basé sur Rust appelé im_net_sys pour communiquer avec les serveurs C2.
La fonction principale de ce malware est de scanner les images sur l'appareil d'un utilisateur à la recherche de phrases de récupération de portefeuille de cryptomonnaie. Ces phrases, souvent stockées sous forme de captures d'écran ou de photos, sont utilisées pour restaurer l'accès aux portefeuilles de cryptomonnaie. Le malware utilise Google ML Kit OCR pour extraire du texte des images, ciblant des mots-clés spécifiques dans plusieurs langues, y compris le latin, le coréen, le chinois et le japonais. Une fois qu'il identifie une phrase de récupération, les données volées sont envoyées aux serveurs des attaquants, leur permettant d'accéder aux fonds en cryptomonnaie de la victime sans avoir besoin d'un mot de passe.
L'enquête de Kaspersky a révélé que le malware est spécifique à certaines régions, avec des mots-clés et des stratégies de ciblage différents pour des zones comme l'Europe et l'Asie. Cependant, les chercheurs avertissent que les applications pourraient toujours fonctionner en dehors de leurs régions prévues, posant un risque pour un public plus large.
Jusqu'à présent, 18 applications Android et 10 applications iOS ont été identifiées comme infectées. Vous pouvez trouver la liste des applications affectées dans le rapport de Kaspersky ici. Un exemple notable est l'application Android — ChatAi — qui avait été téléchargée plus de 50 000 fois avant d'être retirée du Google Play Store. Cependant, de nombreuses autres applications infectées restent disponibles sur les deux plateformes, ce qui reste une source d'inquiétude.
Si vous soupçonnez avoir installé l'une des applications infectées par le malware, vous devez les désinstaller immédiatement. Selon les experts, il est également recommandé d'installer un outil antivirus mobile réputé pour scanner votre appareil à la recherche de traces persistantes du malware. Dans les cas graves, une réinitialisation d'usine peut être nécessaire pour garantir une suppression complète. Les gestionnaires de mots de passe auto-hébergés et hors ligne avec des fonctionnalités de coffre-fort peuvent également fournir une couche de sécurité supplémentaire.
