- Utilisant Google ML Kit pour l’extraction de texte, SparkCat transmet les données volées via des canaux de communication cryptés, ce qui rend la détection difficile.
- Les méthodes d’attaque uniques de SparkCat comprennent un cadre Objective-C sur iOS et un SDK basé sur Java sur Android.
Selon un rapport publié le 4 février par l’entreprise de cybersécurité Kaspersky, un nouveau logiciel malveillant, SparkCat, est apparu comme un défi pour les utilisateurs de cryptomonnaies sur Android et iOS. Le logiciel malveillant est apparu intégré dans d’autres applications qui semblent inoffensives. De plus, il obtient les données importantes d’un utilisateur à partir de son appareil mobile grâce à une approche sophistiquée.
SparkCat utilise la reconnaissance optique des caractères pour commettre des vols
SparkCat analyse les images conservées dans la galerie d’un appareil pour trouver des phrases de récupération de portefeuilles de crypto-monnaie. Il utilise pour cela la reconnaissance optique de caractères, une technologie qui permet de capturer du texte à partir d’images. Les utilisateurs qui ont sauvegardé des captures d’écran et des notes relatives aux portefeuilles sont des victimes potentielles d’une compromission des données.
Ce logiciel malveillant a commencé à fonctionner en mars 2024 et a infecté des applications, notamment des applications de messagerie AI et des services de commande de nourriture sur le Google Play Store et l’App Store d’Apple. Il est intéressant de noter que c’est la première fois que ce type de malware basé sur l’OCR vole des crypto-monnaies à l’aide d’appareils Apple.
Sur Android, il se propage par l’intermédiaire d’un SDK appelé Spark, basé sur Java, qui se fait passer pour un module d’analyse et est injecté dans les applications. Lorsque l’utilisateur lance l’application infectée, le logiciel malveillant récupère un fichier de configuration crypté à partir d’un dépôt GitLab distant.
Une fois activé, SparkCat utilise la fonctionnalité OCR de Google ML Kit pour scanner les images de la galerie de l’appareil. Il recherche des mots-clés liés à des phrases de récupération de portefeuilles de crypto-monnaie dans plusieurs langues, dont l’anglais, le chinois, le japonais, le coréen et plusieurs langues européennes, rapporte KasperSky.
Le logiciel malveillant envoie des images à un serveur contrôlé par l’attaquant pour exfiltrer les données volées. Les méthodes de transfert incluent l’utilisation du stockage dans le nuage d’Amazon, ainsi qu’un protocole basé sur Rust. Il est donc très difficile de le repérer, car il utilise des canaux de communication cryptés et des techniques de transmission de données inhabituelles.
Compromission d’iOS par un cadre malveillant
La variante iOS de SparkCat fonctionne différemment : elle s’intègre dans les applications compromises sous la forme d’un cadre, sous différents noms tels que GZIP, googleappsdk ou stat. Ce cadre malveillant, écrit en Objective-C, est obscurci à l’aide de HikariLLVM et intègre Google ML Kit pour l’analyse d’images de la galerie de l’appareil.
Contrairement à la version Android, dans iOS, le logiciel malveillant ne demande l’accès à la galerie de photos que lorsque des actions spécifiques sont effectuées par les utilisateurs. Ces actions viennent souvent lors de l’ouverture d’un chat d’assistance dans une application infectée. Cela minimise les soupçons tout en permettant au logiciel malveillant de récupérer des informations relatives au portefeuille.
Le rapport de Kaspersky affirme qu’en dehors des phrases de récupération, le logiciel malveillant est capable de voler d’autres données sensibles. Il s’agit notamment des mots de passe enregistrés et du contenu des messages capturés dans les captures d’écran. Les experts en sécurité estiment que SparkCat a déjà compromis plus de 242 000 appareils, principalement basés en Europe et en Asie.
L’origine du logiciel malveillant est toutefois inconnue. D’après les commentaires du code et les messages d’erreur, il est possible de déterminer que les développeurs parlent chinois. Les attaques de logiciels malveillants contre les utilisateurs de cryptomonnaies continuent de se multiplier, les cybercriminels trouvant sans cesse des moyens de contourner les mesures de sécurité imposées par les places de marché d’applications.
En septembre 2024, Binance a signalé le logiciel malveillant Clipper, qui remplace les adresses de portefeuilles copiées par des adresses contrôlées par l’attaquant. Il conduit les victimes à envoyer à leur insu des fonds vers des destinations frauduleuses. Comme nous l’avons indiqué, l’année dernière en 2024, les investisseurs ont perdu plus de 3 milliards de dollars dans des escroqueries et des piratages de cryptomonnaies.
