Contexte et origine
SparkKitty semble être l’évolution d’un malware précédent, SparkCat, découvert en janvier 2025 par Kaspersky. SparkCat utilisait la technologie OCR (reconnaissance optique de caractères) pour extraire des phrases de récupération (« seed phrases ») de portefeuilles cryptos à partir de captures d’écran.
Les phrases de récupération permettent à un attaquant de restaurer un wallet sur un autre appareil et donc de dérober des actifs numériques. Bien que déconseillée, la capture d’écran de ces phrases reste une pratique courante de certains utilisateurs.
Cibles et vecteurs d’attaque
Depuis au moins février 2024, la campagne SparkKitty s’est propagée via :
- Applications sur les stores officiels (Google Play, App Store) ;
- Applications tierces détournées, clones malveillants de TikTok, faux stores de crypto, casinos, jeux pour adultes diffusés hors stores officiels.
Deux applications malveillantes identifiées et supprimées :
- 币coin (via l’App Store d’Apple) ;
- SOEX (messagerie + échange crypto) sur Google Play, téléchargée plus de 10 000 fois avant d’être retirée.
Fonctionnement technique
Sur iOS :
- Intégré à des frameworks factices (AFNetworking.framework, libswiftDarwin.dylib) via profils de provisionnement « enterprise ».
- Exécution automatique du code à chaque lancement via la méthode Objective‑C
+load. - Demande d’accès à la galerie, surveillance en temps réel des nouvelles images, puis exfiltration discrètex.
Sur Android :
- Intégré via du code Java/Kotlin ou des modules Xposed/LSPosed.
- Activation au lancement de l’app ou lors d’actions spécifiques. Téléchargement d’un fichier de configuration depuis un serveur C2, décrypté en AES‑256 (mode ECB).
- Exfiltration des images, des métadonnées et identifiants. Certaines variantes utilisent Google ML Kit OCR pour ne cibler que les images contenant du texte (ex. phrases de récupération).
Impact potentiel
Outre le vol de phrases de récupération de portefeuilles crypto, d’autres images sensibles (photos privées, documents) pourraient être exploitées à des fins de chantage ou d’autres formes de fraudex.
Conseils de sécurité
- Méfiez-vous des applications : surveillez les faux avis, auteurs inconnus, peu de téléchargements mais notes excellentes.
- Attention aux permissions : refusez l’accès à la galerie ou au stockage si l’app ne présente pas de besoin légitime (ex. photo, documents).
- Sur iOS : n’acceptez que les profils de configuration ou certificats officiels.
- Sur Android : activez Google Play Protect et effectuez des analyses régulières.
- Sécurisez vos phrases de récupération : ne les photographiez jamais ni ne les stockez sur un smartphone. Préférez les supports hors ligne (papier, coffre, stockage chiffré).
Réponse de Google et d’Apple
Selon Google, l’application SOEX a été supprimée et le développeur banni ; tous les utilisateurs de Google Play bénéficient automatiquement d’une protection via Play Protect.
Leçons à retenir
- Les stores officiels ne garantissent pas une sécurité absolue ; le malware peut passer à travers.
- Le ciblage des expressions de récupération crypto représente une menace concrète pour les détenteurs de cryptos.
- Le bon sens, la vigilance sur les permissions et un stockage hors ligne demeurent les meilleures protections.
En résumé
Le malware SparkKitty démontre que les attaques mobiles évoluent et ciblent désormais les phrases de récupération, type de données ultra-sensibles dans l’univers crypto. Il réaffirme que :
- La prudence lors de l’installation d’applications est essentielle ; analysez avis, éditeur, permissions.
- Ne jamais stocker ses phrases de récupération numériquement.
- Activer les protections natives (Play Protect, profils sécurisés sur iOS) et réaliser des scans réguliers.
Protégez vos cryptos comme vos données : la vigilance reste la meilleure défense.
Source : Bleeping Computer - Malware on Google Play, Apple App Store stole your photos—and crypto.
Articles
Aucun commentaire:
Enregistrer un commentaire