Logiciel malveillant SparkCat : une menace pour les portefeuilles de cryptomonnaies mobiles

Des applications déguisées ciblent les portefeuilles de crypto-monnaies

Une menace connue sous le nom de SparkCat Malware a été détectée dans les magasins d'applications d'Apple et de Google. Cette campagne utilise des applications frauduleuses pour collecter des informations sensibles auprès des utilisateurs, en ciblant spécifiquement les phrases mnémotechniques associées aux portefeuilles de cryptomonnaies. En intégrant des composants malveillants dans des applications apparemment légitimes, les opérateurs à l'origine de SparkCat ont créé un moyen efficace de voler des informations de récupération critiques à des victimes sans méfiance.

La campagne s’appuie sur un système avancé de reconnaissance optique de caractères (OCR) pour scanner et extraire le texte des images stockées sur les appareils infectés. Ce processus permet au malware d’identifier et de capturer les phrases de récupération, qui sont ensuite transmises à un serveur distant contrôlé par les attaquants. Les implications de cette méthode sont particulièrement préoccupantes, car elle permet aux acteurs malveillants de contourner les mesures de sécurité traditionnelles et d’obtenir un accès non autorisé aux actifs numériques.

Comment fonctionne le malware SparkCat

Au cœur de la campagne SparkCat se trouve un kit de développement logiciel (SDK) intégré qui comprend un composant Java appelé Spark, qui se présente à tort comme un module d'analyse. Les chercheurs cherchent toujours à savoir si ce SDK a été introduit par le biais d'une compromission de la chaîne d'approvisionnement ou si les développeurs l'ont délibérément inclus dans leurs applications.

SparkCat a été détecté dans des applications se faisant passer pour des outils d'intelligence artificielle (IA), des services de livraison de repas et des applications liées au Web3. Si certaines de ces applications offrent des fonctionnalités légitimes limitées, elles servent en fin de compte de véhicule au véritable objectif du malware : récolter des phrases de récupération à partir d'images stockées. Une fois le module malveillant activé, le malware décrypte et déploie un plugin OCR créé à l'aide de la bibliothèque ML Kit de Google pour analyser les galeries d'images à la recherche de mots-clés spécifiques liés aux portefeuilles de cryptomonnaies.

Au-delà d'Android, s'étend à iOS

Des menaces exploitant la technologie OCR ont déjà été détectées sur Android, mais SparkCat est l'un des premiers exemples d'une telle tactique sur l'App Store d'Apple. La variante iOS du malware suit une méthodologie similaire, utilisant la bibliothèque ML Kit de Google pour extraire les données des images. De plus, le malware intègre des techniques de communication basées sur Rust pour ses fonctions de commande et de contrôle (C2), une approche inhabituelle pour les menaces mobiles.

Des rapports suggèrent que SparkCat est activement déployé depuis mars 2024, les applications concernées étant distribuées via des magasins d'applications officiels et tiers. Certaines applications hébergeant ce code malveillant ont accumulé plus de 242 000 téléchargements avant leur suppression, ce qui indique qu'une base d'utilisateurs importante a pu être exposée.

Les implications de cette attaque

Le principal risque associé au logiciel malveillant SparkCat réside dans sa capacité à voler les phrases de récupération des portefeuilles de cryptomonnaies. Ces phrases constituent une mesure de sécurité essentielle, permettant aux utilisateurs de restaurer l'accès à leurs actifs numériques en cas de perte ou de compromission de l'appareil. Si ces phrases tombent entre de mauvaises mains, les acteurs malveillants peuvent transférer des fonds des portefeuilles concernés, laissant aux victimes peu ou pas de recours pour les récupérer.

Au-delà des pertes financières, l'opération de SparkCat met également en évidence des inquiétudes plus larges concernant la sécurité des applications. Le fait que ce malware ait réussi à infiltrer à la fois l'App Store d'Apple et Google Play souligne les lacunes potentielles dans les processus de vérification des applications publiées. Les utilisateurs qui comptent sur les boutiques d'applications officielles pour obtenir des garanties de sécurité ne sont pas toujours à l'abri de menaces sophistiquées comme SparkCat.

Qui se cache derrière SparkCat ?

L'analyse des fonctionnalités du malware, de la sélection des mots-clés et des régions de distribution suggère que la campagne cible principalement les utilisateurs en Europe et en Asie. En outre, les chercheurs ont indiqué que les personnes responsables de SparkCat parlent couramment le chinois, ce qui indique une région d'origine potentielle pour les attaquants. Cependant, l'attribution définitive reste un effort en cours.

L’une des caractéristiques distinctives de SparkCat est sa capacité à fonctionner de manière discrète. Les autorisations demandées par les applications infectées semblent inoffensives et correspondent souvent à leurs fonctionnalités supposées. Cette approche trompeuse rend difficile pour les utilisateurs de reconnaître la présence d’une menace cachée dans le logiciel qu’ils téléchargent.

Leçons de SparkCat et menaces émergentes

L’émergence de SparkCat renforce l’importance de la vigilance lors de l’installation d’applications, même issues de sources officielles. Les experts en cybersécurité recommandent de vérifier minutieusement les autorisations des applications, de scruter les avis des utilisateurs et de vérifier la légitimité des développeurs avant de télécharger tout nouveau logiciel. Alors que les cybercriminels continuent d’affiner leurs tactiques, les utilisateurs doivent rester prudents et proactifs dans la protection de leurs informations sensibles.

Les tendances récentes indiquent également un nombre croissant de menaces visant les systèmes macOS et les appareils mobiles. La popularité croissante des cryptomonnaies et des actifs numériques en a fait une cible attrayante pour les cybercriminels, ce qui souligne encore davantage la nécessité de renforcer les pratiques de sécurité. SparkCat nous rappelle brutalement que même les plateformes numériques bien établies ne sont pas à l’abri des menaces émergentes.

Réponse de l'industrie et mesures de protection

Suite à la découverte de SparkCat, Apple et Google ont pris des mesures pour supprimer les applications incriminées de leurs boutiques respectives. Depuis début février 2025, ces applications ne sont plus disponibles au téléchargement. Google a également confirmé que les utilisateurs d'Android sont automatiquement protégés contre les versions connues de ce malware grâce à sa fonction Play Protect.

Bien que ces mesures atténuent certains des risques immédiats, les utilisateurs qui ont déjà installé l’une des applications concernées doivent prendre des mesures proactives pour sécuriser leurs appareils. La vérification des accès non autorisés aux portefeuilles de cryptomonnaies, la suppression des applications suspectes et la mise à jour des paramètres de sécurité sont toutes des mesures recommandées pour minimiser les dommages potentiels.

Conclusion

La campagne de malware SparkCat illustre la sophistication croissante des cybermenaces ciblant les utilisateurs de cryptomonnaies. En exploitant les vulnérabilités des magasins d’applications et en tirant parti de techniques OCR avancées, les attaquants ont fait preuve d’un nouveau niveau d’ingéniosité dans le vol numérique. À l’avenir, il sera essentiel de rester informé des menaces émergentes et d’adopter des pratiques de cybersécurité strictes pour maintenir la sécurité numérique.

Par Willa
February 10, 2025
Android Malware, Mac Malware, Malware, Scam
Français
February 10, 2025
Android Malware, Mac Malware, Malware, Scam

Articles Populaires

Qu'est-ce que le fichier OperaGXSetup.exe et est-il malveillant ?

Il y a 11 months

Eporner.com et pourquoi ses pop-ups excessifs sont risqués

Il y a 12 days

Prenez note : quelqu'un vous a ajouté comme arnaque par...

Il y a 10 months

HackTool:Win32/Crack : une menace malveillante qui peut...

Il y a 7 months

Une menace potentiellement sérieuse : Trojan:Win32/Suschil!rfn

Il y a 19 days

Qu'est-ce que la menace du cheval de Troie Packunwan et...

Il y a 11 months
Français
Chargement...

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.