Logiciel malveillant SparkCat
Une campagne de menaces récemment découverte, baptisée SparkCat, a infiltré l'App Store d'Apple et Google Play à l'aide d'applications trompeuses conçues pour collecter des phrases mnémotechniques de récupération de portefeuilles de cryptomonnaies. Ces applications, déguisées en services légitimes, extraient secrètement des phrases mnémotechniques des appareils des victimes, mettant ainsi en danger les actifs numériques.
Table des matières
Exploiter l’OCR pour récolter les phrases de récupération du portefeuille
SparkCat utilise un modèle avancé de reconnaissance optique de caractères (OCR) pour analyser les bibliothèques de photos des utilisateurs à la recherche d'images contenant des phrases de récupération de portefeuille. Une fois détectées, ces images sensibles sont exfiltrées vers un serveur de commande et de contrôle (C2) distant. La campagne doit son nom à un kit de développement logiciel (SDK) intégré qui comprend un composant Java appelé Spark, qui se fait passer pour un module d'analyse. On ne sait pas encore si cette infiltration résulte d'une attaque de la chaîne d'approvisionnement ou a été délibérément introduite par les développeurs.
Pénétrer dans l’App Store d’Apple
Bien que des menaces Android avec des capacités OCR aient déjà fait surface, SparkCat représente l'un des premiers cas d'une telle attaque sur l'App Store d'Apple. Sur Google Play, les applications compromises ont été téléchargées plus de 242 000 fois avant d'être supprimées des deux plateformes le 7 février 2025.
Une opération multi-plateforme
Des éléments suggèrent que SparkCat est actif depuis mars 2024. Ses applications dangereuses sont distribuées via des boutiques d'applications officielles et tierces. Les applications frauduleuses se font passer pour des outils d'IA, des services de livraison de nourriture et des plateformes Web3, certaines fournissant même des fonctionnalités apparemment légitimes pour éviter tout soupçon.
Comment SparkCat collecte les données
Sur les appareils Android, le malware décrypte et active un plug-in OCR alimenté par la bibliothèque ML Kit de Google. Il analyse les galeries d'images à la recherche de texte correspondant à des mots-clés prédéfinis à partir de son serveur C2. Toutes les images signalées sont ensuite transmises aux attaquants.
La variante iOS de SparkCat utilise le mécanisme OCR basé sur ML Kit pour identifier et extraire les informations sensibles. Cette version utilise également un framework de communication basé sur Rust pour interagir avec son serveur C2, une tactique peu courante dans les menaces mobiles.
Qui est derrière l’attaque ?
L'analyse des mots-clés utilisés et des schémas de distribution suggère que SparkCat cible principalement les utilisateurs en Europe et en Asie. Les éléments de preuve indiquent que les auteurs de la menace parlent couramment le chinois, bien que leur identité exacte reste inconnue.
Un cheval de Troie furtif déguisé
Ce qui rend SparkCat particulièrement trompeur, c'est sa capacité à fonctionner sans déclencher d'alertes. Les autorisations qu'il demande semblent soit nécessaires aux fonctionnalités annoncées de l'application, soit inoffensives, ce qui lui permet de se fondre dans la masse sans éveiller les soupçons. Cette approche furtive rend plus difficile pour les utilisateurs de reconnaître la menace avant que leurs portefeuilles de cryptomonnaies ne soient compromis.
