Le nouveau malware SparkKitty touche plus de 5 000 utilisateurs de cryptomonnaies via les applications Apple et Google

Une nouvelle forme de logiciel espion mobile exploite les faiblesses des systèmes d’examen des applications d’Apple et de Google pour cibler les utilisateurs de cryptomonnaies en Asie du Sud-Est et en Chine.

Baptisé SparkKitty, le logiciel malveillant se concentre sur le vol de captures d’écran de phrases de récupération de portefeuille stockées dans des galeries de téléphones mobiles.

Les chercheurs en cybersécurité de Kaspersky ont révélé que le logiciel espion a été intégré dans des applications apparemment légitimes, notamment des traqueurs de portefeuilles de crypto-monnaies et des versions modifiées d’applications populaires comme TikTok.

La campagne de logiciels malveillants, qui remonte à une variante antérieure connue sous le nom de SparkCat, est active depuis au moins avril 2024.

Certains exemples d’applications remontent encore plus loin.

Une fois installé, SparkKitty utilise des autorisations trompeuses et la technologie de reconnaissance optique de caractères (OCR) pour identifier et transmettre des images contenant du texte sensible tel que des phrases de récupération, un vecteur d’attaque ayant de graves implications pour toute personne stockant ses phrases de récupération sur ses appareils.

Infecté applications crypto monnaies contourné la sécurité du magasin

L’analyse de Kaspersky montre que SparkKitty a réussi à infiltrer le Google Play Store officiel et l’App Store d’Apple.

Les applications concernées, notamment Soex Wallet Tracker et Coin Wallet Pro, se sont déguisées en outils cryptographiques offrant des services de suivi en temps réel, de gestion de portefeuille et de portefeuille multi-chaînes.

Dans un cas, Soex Wallet Tracker a été téléchargé plus de 5 000 fois avant d’être retiré de la liste.

Coin Wallet Pro, qui s’est positionné comme un portefeuille numérique sécurisé, aurait gagné en popularité grâce aux publicités sur les réseaux sociaux et aux chaînes Telegram.

Ces canaux encourageaient les utilisateurs à télécharger l’application et à installer des profils de développeur supplémentaires, en contournant les mécanismes habituels d’examen des applications.

Cette étape supplémentaire a permis au logiciel malveillant de fonctionner en dehors des protections standard du bac à sable qui limitent généralement l’accès aux galeries de photos et aux données système.

En invitant les utilisateurs à effectuer des activités spécifiques telles que les chats d’assistance, SparkKitty pouvait accéder au stockage de photos.

Une fois accordé, il a utilisé l’OCR pour extraire toutes les phrases de départ visibles dans les captures d’écran.

Ces phrases sont cruciales pour l’accès et la récupération des wallet crypto , et la perte de contrôle sur celles-ci peut entraîner une perte totale de fonds.

Le malware SparkKitty vise le vol de données visuelles

Contrairement aux logiciels malveillants traditionnels qui cherchent à accéder directement aux applications de portefeuille ou aux clés privées, l’accent mis par SparkKitty sur les galeries d’images indique une évolution vers l’exploitation des habitudes de stockage de données visuelles des utilisateurs.

De nombreuses personnes, en particulier les nouveaux utilisateurs de cryptomonnaies, enregistrent des captures d’écran des phrases de démarrage de leur portefeuille pour plus de commodité.

Cette pratique, bien que découragée par la plupart des fournisseurs de portefeuilles, reste courante.

SparkKitty capitalise sur ce comportement en scannant des milliers d’images en arrière-plan, à la recherche de chaînes de mots qui correspondent aux formats de phrases de récupération courants.

Une fois identifiés, ceux-ci sont renvoyés vers des serveurs distants contrôlés par les attaquants.

Le modèle de reconnaissance visuelle du logiciel malveillant semble optimisé pour les longueurs de phrases de récupération et les formats utilisés par les portefeuilles populaires tels que MetaMask, Trust Wallet et Phantom.

Kaspersky a déclaré que si la majeure partie des infections semble concentrée en Asie du Sud-Est et en Chine, la méthode de distribution des applications, via les médias sociaux et les magasins d’applications, la rend très évolutive.

Des attaques similaires pourraient facilement être redirigées vers d’autres régions ou bases d’utilisateurs avec des modifications minimales de la base de code.

Apple et Google suppriment des applications, le système d’examen sous surveillance

Suite à l’alerte de Kaspersky, Apple et Google ont retiré les applications signalées de leurs plateformes.

Cependant, des questions subsistent sur la façon dont ces applications ont réussi à passer les premiers examens.

L’utilisation de profils de développeur pour contourner le sandboxing des applications suggère une vulnérabilité dans les structures d’autorisation du système d’exploitation mobile, en particulier dans les cas où les utilisateurs sont convaincus d’accorder un accès étendu.

Kaspersky a averti que la campagne pourrait toujours être active sur des marchés d’applications moins réglementés ou via des téléchargements directs d’APK.

Les équipes de sécurité ont surveillé les modèles de comportement similaires dans les applications plus récentes, en particulier celles associées à des fonctionnalités exclusivement cryptographiques ou à des outils de finance décentralisée (DeFi).

Par mesure de précaution, les utilisateurs sont invités à ne pas enregistrer de phrases de synthèse dans leurs galeries de photos et à éviter d’installer des profils inconnus ou de donner accès à la galerie à des applications non fiables.

Plusieurs influenceurs crypto et comptes de sécurité sur Twitter et Telegram ont également fait circuler des avertissements sur l’incident.

L’équipe de Kaspersky continue de suivre l’infrastructure réseau de SparkKitty et a partagé des indicateurs de compromission avec les autorités cybernétiques compétentes.