Une alerte de sécurité majeure a été émise pour les utilisateurs d’iPhone et d’Android, après la découverte par des chercheurs en cybersécurité de malwares dissimulés dans des applications du Google Play Store et de l’Apple App Store capables de voler les identifiants des portefeuilles de cryptomonnaie. Selon Kaspersky, il s’agit du premier cas connu d’un cheval de Troie utilisant la technologie OCR (Reconnaissance Optique de Caractères) pour espionner les applications iOS téléchargées depuis l’App Store officiel.
Comment fonctionne ce malware ?
Cette attaque représente une évolution des menaces précédentes, où les malwares volaient le contenu du presse-papiers pour capturer les identifiants des portefeuilles crypto. La nouvelle méthode, appelée SparkCat, est bien plus avancée : elle scanne la galerie d’images de l’utilisateur grâce à la technologie OCR afin d’extraire du texte des captures d’écran, notamment celles contenant des phrases de récupération de portefeuilles crypto. Ainsi, les pirates peuvent prendre le contrôle total des fonds des victimes sans que celles-ci n’aient besoin de copier-coller leurs identifiants.
SparkCat utilise un protocole basé sur Rust, ce qui est inhabituel pour un malware mobile, afin de communiquer avec son serveur de commande et de contrôle (C2). D’après l’analyse de Kaspersky, le malware est actif depuis mars 2024, bien qu’il n’ait été découvert que récemment.
Applications infectées sur Android et iOS
Cette campagne de malware cible des applications sur les deux plateformes mobiles, avec au moins 242 000 téléchargements sur Android. Kaspersky a confirmé que des versions malveillantes de certaines applications ont été trouvées à la fois sur Google Play et sur l’App Store, la première application identifiée étant “ComeCome”, une application de livraison alimentaire aux Émirats Arabes Unis et en Indonésie.
L’un des aspects les plus préoccupants de cette découverte est que l’App Store d’Apple—longtemps considéré comme l’écosystème mobile le plus sûr—a été infiltré. Jusqu’à présent, aucun logiciel espion basé sur l’OCR n’avait été détecté dans les applications iOS officielles, ce qui représente une faille importante dans les contrôles de sécurité d’Apple.
>>>3/V450HR pour Varta 3/V450HR
Liste des applications infectées
Applications Android infectées (Google Play Store)
- com.crownplay.vanity.address
- com.atvnewsonline.app
- com.bintiger.mall.android
- com.websea.exchange
- org.safew.messenger
- org.safew.messenger.store
- com.tonghui.paybank
- com.bs.feifubao
- com.sapp.chatai
- com.sapp.starcoin
Applications iOS infectées (App Store)
- im.pop.app.iOS.Messenger
- com.hkatv.ios
- com.atvnewsonline.app
- io.zorixchange
- com.yykc.vpnjsq
- com.llyy.au
- com.star.har91vnlive
- com.jhgj.jinhulalaab
- com.qingwa.qingwa888lalaaa
- com.blockchain.uttool
- com.wukongwaimai.client
- com.unicornsoft.unicornhttpsforios
- staffs.mil.CoinPark
- com.lc.btdj
- com.baijia.waimai
- com.ctc.jirepaidui
- com.ai.gbet
- app.nicegram
- com.blockchain.ogiut
- com.blockchain.98ut
- com.dream.towncn
- com.mjb.hardwood.Test
- com.galaxy666888.ios
- njiujiu.vpntest
- com.qqt.jykj
- com.ai.sport
- com.feidu.pay
- app.ikun277.test
- com.usdtone.usdtoneApp2
- com.cgapp2.wallet0
- com.bbydqb
- com.yz.Byteswap.native
- jiujiu.vpntest
- com.wetink.chat
- com.websea.exchange
- com.customize.authenticator
- im.token.app
- com.mjb.WorldMiner.new
- com.kh-super.ios.superapp
- com.thedgptai.event
- com.yz.Eternal.new
- xyz.starohm.chat
- com.crownplay.luckyaddress1
Que devez-vous faire ?
Si vous avez installé l’une des applications mentionnées ci-dessus, supprimez-la immédiatement. Même si les développeurs publient une mise à jour, il est préférable de désinstaller d’abord l’application et de la réinstaller uniquement après avoir confirmé qu’elle a été corrigée.
Kaspersky met en garde contre le fait que ces applications semblent normales et que leurs autorisations demandées ne suscitent pas de soupçons, ce qui les rend particulièrement dangereuses. Comme le malware fonctionne en arrière-plan, les utilisateurs ne se rendront peut-être pas compte de l’infection avant que leurs portefeuilles crypto ne soient compromis.
Comment vous protéger ?
- Évitez de stocker des captures d’écran contenant des informations sensibles
- Si vous prenez des captures d’écran de phrases de récupération, mots de passe ou clés privées de portefeuilles crypto, supprimez-les immédiatement. Préférez un gestionnaire de mots de passe sécurisé ou un portefeuille matériel.
- Soyez vigilant lorsque vous téléchargez des applications
- Même les applications provenant de Google Play et de l’App Store peuvent être infectées. Vérifiez toujours les avis, recherchez le développeur, et méfiez-vous des applications nouvellement lancées avec peu de téléchargements.
- Mettez à jour votre logiciel de sécurité
- Utilisez une solution de sécurité fiable sur votre appareil pour détecter les malwares. Activez Google Play Protect ou les alertes de sécurité d’Apple pour identifier les activités suspectes.
- Surveillez vos comptes crypto
- Si vous avez installé l’une des applications infectées, vérifiez votre portefeuille crypto pour détecter toute transaction non autorisée. En cas de doute, transférez vos fonds vers un nouveau portefeuille sécurisé.
- Évitez d’utiliser des portefeuilles tiers non vérifiés
- Téléchargez uniquement des applications de portefeuille depuis des sources officielles, comme le site du développeur ou des listings d’applications vérifiés.
La découverte du malware SparkCat sur le Google Play Store et l’App Store d’Apple représente une menace majeure pour les utilisateurs de portefeuilles crypto. L’utilisation de techniques d’espionnage basées sur l’OCR rend cette attaque particulièrement dangereuse, car le simple fait d’enregistrer une capture d’écran peut compromettre vos fonds.
Bien qu’Apple et Google devraient supprimer ces applications infectées suite aux recherches de Kaspersky, les utilisateurs doivent rester vigilants. Étant donné la sophistication de ce malware, il est essentiel de vérifier les applications installées, supprimer celles qui sont suspectes et revoir la façon dont vous stockez vos informations sensibles sur votre appareil.