Des logiciels malveillants volants de la crypto-monnaie découverts dans les SDK de l'App Store mobile, avertit Kaspersky

Kaspersky Labs a identifié une campagne de logiciels malveillants sophistiquée ciblant les utilisateurs de crypto-monnaies par le biais de kits de développement logiciel malveillants intégrés dans des applications mobiles disponibles sur Google Play et l'App Store d'Apple. Nommé "SparkCat," ce logiciel malveillant utilise la reconnaissance optique de caractères pour analyser les photos des utilisateurs à la recherche de phrases de récupération de portefeuille crypto, que les hackers utilisent ensuite pour accéder aux portefeuilles affectés et les vider.

Dans un rapport complet daté du 4 février 2025, les chercheurs de Kaspersky Sergey Puzan et Dmitry Kalinin ont détaillé comment le logiciel malveillant SparkCat infiltre les appareils et recherche dans les images des phrases de récupération grâce à la détection de mots-clés multilingues. Une fois ces phrases obtenues, les attaquants obtiennent un accès total aux portefeuilles crypto des victimes. Les hackers obtiennent ainsi un contrôle total sur les fonds, comme l'ont souligné les chercheurs.

De plus, le logiciel malveillant est conçu pour voler des informations sensibles supplémentaires, telles que les mots de passe et les messages privés capturés dans les captures d'écran. Spécifiquement sur les appareils Android, SparkCat se fait passer pour un module analytique basé sur Java appelé Spark. Le logiciel malveillant reçoit des mises à jour opérationnelles à partir d'un fichier de configuration crypté sur GitLab et utilise Google ML Kit OCR pour extraire le texte des images sur les appareils infectés. La détection d'une phrase de récupération entraîne l'envoi des informations aux attaquants, leur permettant d'importer le portefeuille crypto de la victime sur leurs appareils.

Kaspersky estime que depuis son apparition en mars 2023, SparkCat a été téléchargé environ 242 000 fois, impactant principalement les utilisateurs en Europe et en Asie.

Dans un rapport distinct mais connexe de mi-2024, Kaspersky surveille une autre campagne de logiciels malveillants Android impliquant des APK trompeurs comme Tria Stealer, qui intercepte les messages SMS et les journaux d'appels, et vole les données Gmail.

La présence de ces logiciels malveillants s'étend à de nombreuses applications, certaines apparemment légitimes comme les services de livraison de nourriture, et d'autres conçues pour attirer les utilisateurs imprudents, telles que les applications de messagerie à intelligence artificielle. Les caractéristiques communes parmi ces applications infectées incluent l'utilisation du langage de programmation Rust, des capacités multiplateformes, et des méthodes d'obfuscation sophistiquées pour éviter la détection.

Les origines de SparkCat restent floues. Les chercheurs n'ont pas attribué le logiciel malveillant à un groupe de hackers connu mais ont noté des commentaires et des messages d'erreur en langue chinoise dans le code, suggérant une maîtrise du chinois par le développeur. Bien qu'il partage des similitudes avec une campagne découverte par ESET en mars 2023, sa source précise reste non identifiée.

Kaspersky conseille vivement aux utilisateurs de ne pas stocker d'informations sensibles telles que les phrases de récupération de portefeuille crypto dans leurs galeries photos. Au lieu de cela, ils recommandent d'utiliser des gestionnaires de mots de passe et de régulièrement scanner et éliminer les applications suspectes.

Les découvertes ont été rapportées à l'origine sur 99Bitcoins dans l'article intitulé "Malicious SDKs on Google Play and App Store Steal Crypto Seed Phrases : Kaspersky."