Les chercheurs de Kaspersky ont identifié Une campagne de logiciels malveillants, surnommée SparkCAT, distribuant des applications malveillantes sur les plates-formes Android et iOS depuis mars 2024. Ce malware utilise la reconnaissance optique des caractères (OCR) pour scanner des bibliothèques photo pour des phrases de récupération de portefeuille de crypto-monnaie.
«Kaspersky Threat Research Expertise Center a découvert un nouveau Trojan, SparkCAT, actif dans AppStore et Google Play depuis au moins mars 2024. Il s’agit de la première instance connue de logiciels malveillants basés sur la reconnaissance optique apparaissant dans AppStore. SparkCAT utilise l’apprentissage automatique pour scanner les galeries d’images et voler des captures d’écran contenant des phrases de récupération du portefeuille de crypto-monnaie. Il peut également trouver et extraire d’autres données sensibles dans les images, telles que les mots de passe. »
-Kaspersky
Kaspersky identifie les logiciels malveillants Sparkcat ciblant les portefeuilles cryptographiques sur iOS et Android
Le enquêtemené par Dmitry Kalinin et Sergey Puzan, a noté que si certaines des applications affectées, comme les services de livraison de nourriture, semblent légitimes, d’autres semblent tromper délibérément les utilisateurs. Le 6 février, Kaspersky a confirmé que les demandes affectées avaient été supprimées de l’App Store, Apple signalant la suppression de 11 applications qui partageaient le code avec 89 applications supplémentaires précédemment rejetées ou supprimées en raison de problèmes de sécurité.
Le malware a été principalement trouvé dans une application iOS nommée Comecome, qui apparaît également sur Google Play. Selon Kaspersky, cette application est conçue pour saisir l’accès à la crypto-monnaie des utilisateurs en capturant des captures d’écran contenant des phrases de récupération, également appelées phrases de semences. Le malware fonctionne en utilisant un kit de développement logiciel malveillant (SDK) qui décrypte un plugin OCR, qui facilite la numérisation des captures d’écran de l’appareil mobile.
Kaspersky a souligné que les applications Google Play infectées ont été téléchargées plus de 242 000 fois. Cet incident marque la première découverte d’une application infectée par des logiciels espions OCR dans l’App Store d’Apple, ce qui remet en question la notion d’infaillibilité de la plate-forme contre les menaces de logiciels malveillants.
Le malware cible non seulement les phrases de récupération de portefeuille cryptographique, mais est également suffisamment flexible pour extraire d’autres informations sensibles de la galerie, telles que des messages ou des mots de passe capturés dans des captures d’écran. Les chercheurs ont souligné que les demandes de logiciels malveillants pour les autorisations peuvent sembler bénignes ou nécessaires, ce qui lui permet d’échapper à la détection.
La campagne SparkCat Malware est estimée pour cibler les utilisateurs d’Android et iOS principalement en Europe et en Asie. Kaspersky a noté que la méthode exacte d’infection est toujours à l’étude, car ils ne peuvent pas confirmer si SparkCAT a été introduit par une attaque de chaîne d’approvisionnement ou des actions de développeur malveillant.
Dans les résultats connexes, Spark englobe un module obscurci identifié comme Spark, principalement écrit en Java, qui communique avec un serveur de commande et de contrôle (C2) distant via un protocole basé sur la rouille. Lors de la connexion au serveur C2, le malware utilise l’interface TextRecognizer de la bibliothèque de kit ML de Google pour extraire du texte des images.
Une analyse supplémentaire a révélé que la nature trompeuse du malware lui permet de faire induire les utilisateurs en erreur en accordant l’accès à leurs bibliothèques de photos après avoir capturé des captures d’écran des phrases de récupération. Le rapport détaillé de Kaspersky indiquait que «les autorisations qu’il demande peut sembler nécessaires pour sa fonctionnalité de base ou sembler inoffensive à première vue.»
Crédit d’image en vedette: Kerem gülen / idéogramme
