Des kits de développement malveillants utilisés pour créer des applications sur le Google Play Store et l’Apple App Store analysent les images des utilisateurs à la recherche de phrases de récupération de portefeuilles crypto, selon la société de cybersécurité Kaspersky Labs.
Les analystes de Kaspersky, Sergey Puzan et Dmitry Kalinin, expliquent dans un rapport du 4 février que le malware, baptisé SparkCat, infecte un appareil et recherche des images en utilisant des mots-clés spécifiques dans différentes langues grâce à un système de reconnaissance optique de caractères (OCR).
« Les intrus dérobent les phrases de récupération pour les portefeuilles crypto, ce qui suffit pour prendre le contrôle total du portefeuille de la victime et ainsi voler davantage de fonds », ont écrit Puzan et Kalinin.
« Il faut noter que la flexibilité de ce malware lui permet de voler non seulement des phrases secrètes, mais aussi d’autres données personnelles présentes dans la galerie, comme le contenu de messages ou des mots de passe visibles sur des captures d’écran. »
Un utilisateur victime du malware a laissé un avis sur Google dans la section des applications. Source: Kaspersky Labs
Les analystes de Kaspersky recommandent de ne pas stocker d’informations sensibles dans les captures d’écran ou la galerie photo du téléphone. Ils conseillent plutôt d’utiliser un gestionnaire de mots de passe et de supprimer toute application suspecte ou infectée.
Puzan et Kalinin précisent que, sur Android, le malware exploite un composant Java appelé Spark, déguisé en module d’analyse, ainsi qu’un fichier de configuration chiffré hébergé sur GitLab, qui fournit des commandes et des mises à jour opérationnelles.
Un module de réseau basé sur la confiance utilise Google ML Kit OCR pour extraire du texte à partir d'images sur un appareil infecté, à la recherche de phrases de récupération qui peuvent être utilisées pour charger des portefeuilles crypto sur les appareils des attaquants sans connaître le mot de passe.
Kaspersky estime que le logiciel malveillant a été téléchargé environ 242 000 fois depuis qu'il est devenu actif vers le mois de mars, ciblant principalement les utilisateurs d'Android et d'iOS en Europe et en Asie.
Kaspersky indique que le malware se trouve dans des dizaines d'applications, réelles et fausses, sur les stores de Google et d'Apple, mais présente les mêmes caractéristiques partout, telles que l'utilisation du langage Rust, qui est « rarement trouvé dans les applications mobiles », la capacité multiplateforme et l'obfuscation qui rendent l'analyse et la détection difficiles.
Kaspersky Labs a trouvé de fausses applications contenant SparkCat sur le Google Play Store et l'Apple App Store. Source: Kaspersky Labs
Puzan et Kalinin précisent qu’il n’est pas encore clair si ces applications « ont été infectées à la suite d'une attaque de la supply chain ou si les développeurs ont intentionnellement intégré le cheval de Troie. »
« Certaines applications, comme les services de livraison de nourriture, semblent légitimes, tandis que d'autres sont clairement conçues pour attirer les victimes — par exemple, nous avons vu plusieurs applications de messagerie similaires avec des fonctionnalités d'IA provenant du même développeur », ont-ils ajouté.
Puzan et Kalinin expliquent que l’origine du malware reste inconnue et qu’il n’a pas été attribué à un groupe en particulier. Toutefois, il présente des similitudes avec une campagne découverte par les chercheurs d’ESET en mars 2023.
Ils ont néanmoins identifié des commentaires et descriptions d’erreurs en chinois dans le code, ce qui leur laisse penser que le développeur du module malveillant est probablement un locuteur natif du chinois.
Google et Apple n’ont pas répondu immédiatement aux demandes de commentaires.