SparkCat Malware cible les touches de portefeuille cryptographique des utilisateurs mobiles
Prise de l'éditeur: Prendre des captures d'écran sur les appareils mobiles modernes est incroyablement facile. Cependant, les utilisateurs inexpérimentés négligent souvent les risques de sécurité potentiels de l'enregistrement d'images contenant des données sensibles. Cette surveillance peut entraîner des pertes financières, car les cybercriminels sont toujours prêts à exploiter de telles tours dans la sécurité opérationnelle.
Kaspersky a découvert une nouvelle campagne de logiciels malveillants conçue pour violer les portefeuilles cryptographiques des utilisateurs et voler le bitcoin et d'autres crypto-monnaies. Surnommé SparkCAT, le malware exploite la technologie de reconnaissance de caractères optiques avancée intégrée dans les plates-formes de smartphones modernes pour rechercher des phrases de récupération utilisées pour accéder aux portefeuilles cryptographiques. Il affecte notamment les écosystèmes Android et iOS.
Sparkcat a été trouvé intégré dans plusieurs applications Android et iOS, dont certaines étaient disponibles dans les magasins d'applications officielles. Le malware utilise un SDK malveillant qui intègre la technologie OCR de Google, lui permettant de scanner des galeries de photos des utilisateurs pour les captures d'écran et d'extraire les codes de récupération de portefeuille cryptographique à partir d'images.
Les applications infectées découvertes sur Google Play avaient été téléchargées plus de 242 000 fois. Pendant ce temps, certaines applications malveillantes ciblant iOS restent disponibles en téléchargement, y compris deux outils de chat AI (WETINK et Anygpt) et une application de livraison de nourriture chinoise (Comecome).
Kaspersky pense que la campagne Sparkcat est probablement active depuis mars 2024. Les applications malveillantes comportaient un protocole auparavant invisible écrit en rouille, qui s'est avéré utile pour communiquer avec des serveurs de commandement et de contrôle exploités par les cybercriminels derrière l'attaque.
L'origine de Sparkcat reste claire. Kaspersky n'a pas déterminé si l'infection faisait partie d'une attaque sophistiquée de la chaîne d'approvisionnement ou du résultat d'actions délibérées par les développeurs de l'application. Le malware utilise des tactiques précédemment observées par des chercheurs en 2023, lorsque les analystes ESET ont découvert des « implants » malveillants dans les applications Android et Windows conçues pour scanner des images pour les codes d'accès au portefeuille cryptographique.
SparkCAT souligne les risques de mauvaises pratiques de sécurité sur les appareils mobiles personnels. La sauvegarde des captures d'écran dans la galerie d'un téléphone est déjà une vulnérabilité potentielle, mais pour les utilisateurs qui ont investi dans la crypto-monnaie, il peut se transformer en une menace de sécurité sérieuse.
