English
Português
Indonesia
Tagalog
Malaysia
हिन्दी
বাংলা
中文 (中国)
Tiếng Việt
Kaspersky a tiré la sonnette d’alarme concernant un malware récemment découvert appelé SparkCat qui cible les clés privées et les phrases de récupération des portefeuilles de crypto-monnaie sur les appareils Android et iOS. Le malware a déjà été téléchargé plus de 200 000 fois et se propage via des applications qui semblent inoffensives mais contiennent des kits de développement de logiciels malveillants (SDK). Ces applications infectées, telles que les applications de livraison de nourriture et de messagerie alimentées par l’IA, sont disponibles sur Google Play et l’App Store.
Comment fonctionne SparkCat : SparkCat est équipé de la technologie de reconnaissance optique de caractères (OCR), qui lui permet de scanner la galerie de photos de la victime à la recherche de phrases de récupération de portefeuille cryptographique. Ces phrases sont souvent stockées dans des captures d’écran ou des notes enregistrées, et le logiciel malveillant recherche des mots-clés spécifiques liés à ces phrases.
Voici une description détaillée du fonctionnement du logiciel malveillant sur les deux plateformes :
- Sur Android : SparkCat est injecté via un SDK basé sur Java appelé Spark, qui se fait passer pour un module d’analyse. Lorsqu’une application infectée est lancée, Spark récupère un fichier de configuration chiffré à partir d’un référentiel GitLab distant. Ensuite, il utilise l’outil OCR du kit Google ML pour analyser les images de la galerie de l’appareil à la recherche de phrases de récupération de portefeuille dans différentes langues, notamment l’anglais, le chinois, le coréen, le japonais et d’autres langues européennes. Les données volées sont ensuite téléchargées sur un serveur contrôlé par l’attaquant, utilisant généralement le stockage cloud d’Amazon ou un protocole basé sur Rust, qui crypte les données et complique la détection.
- Sur iOS : La version iOS fonctionne via un framework malveillant intégré dans les applications, déguisé sous des noms comme GZIP, googleappsdk ou stat. Ce framework s’intègre au kit Google ML pour extraire du texte des images de la galerie. Pour éviter tout soupçon, l’accès à la galerie est demandé uniquement lorsque les utilisateurs effectuent des actions spécifiques, comme l’ouverture d’une discussion d’assistance.
Risques supplémentaires : la flexibilité du logiciel malveillant signifie qu’il pourrait voler plus que de simples informations sur un portefeuille de crypto-monnaies. Cela pourrait également compromettre les mots de passe, les messages et d’autres données sensibles stockées dans les captures d’écran.
Impact géographique : Kaspersky estime que SparkCat a infecté plus de 242 000 appareils, principalement en Europe et en Asie. Bien que l’origine exacte reste floue, des commentaires intégrés dans le code suggèrent que les développeurs pourraient parler couramment le chinois.
Ce que les utilisateurs doivent faire : Kaspersky recommande aux utilisateurs d’éviter de stocker des informations importantes telles que des phrases de départ, des clés privées et des mots de passe dans des captures d’écran. Les utilisateurs doivent également être prudents lorsqu’ils téléchargent des applications à partir de sources non officielles, car les campagnes de logiciels malveillants ciblant les utilisateurs de crypto-monnaie restent une menace sérieuse.
Ce n’est pas la première fois que la communauté crypto est confrontée à des attaques aussi sophistiquées. En septembre 2024, Binance a signalé le malware Clipper, qui a remplacé les adresses de portefeuille copiées dans le presse-papiers par des adresses contrôlées par l’attaquant. De telles menaces ont contribué à certaines des pertes les plus importantes dans le domaine des cryptomonnaies en raison du vol de clés privées.
SparkCat met en évidence le risque permanent posé par les acteurs malveillants dans l’écosystème cryptographique. Il est essentiel que les utilisateurs prennent des précautions supplémentaires, comme éviter de stocker des informations sensibles dans des endroits facilement accessibles comme des captures d’écran et de rester vigilants lors de l’utilisation d’applications mobiles.
