Avertissement de sécurité Crypto : le malware SparkCat analyse vos photos à la recherche de clés Portefeuille - Crypto News Flash

• En utilisant Google ML Kit pour l’extraction de texte, SparkCat transmet des données volées via des canaux de communication chiffrés, ce qui rend la détection difficile.
• Les méthodes d’attaque uniques de SparkCat incluent un framework Objective-C sur iOS et un SDK basé sur Java sur Android.

Un nouveau logiciel malveillant, SparkCat, selon un rapport du 4 février de la société de cybersécurité Kaspersky, est apparu comme un défi pour les utilisateurs de crypto Android et iOS. Le logiciel malveillant semblait être intégré à d’autres applications qui semblaient inoffensives. De plus, il obtient les détails importants d’un utilisateur de son appareil mobile par une approche sophistiquée.

SparkCat utilise la reconnaissance optique de caractères pour les vols

SparkCat analyse les images conservées dans la galerie d’un appareil pour les phrases de récupération de portefeuille cryptographique. Il effectue son analyse grâce à la reconnaissance optique de caractères, une technologie qui capture le texte à partir des images. Les utilisateurs qui ont enregistré des captures d’écran et des notes relatives aux portefeuilles sont des victimes potentielles d’une compromission des données.

Ce logiciel malveillant a commencé à fonctionner en mars 2024 et a infecté des applications, y compris des applications de messagerie IA et des services de commande de nourriture sur le Google Play Store et l’App Store d’Apple. Fait intéressant, c’est la première fois qu’un tel logiciel malveillant basé sur l’OCR vole des crypto-monnaies en utilisant des appareils Apple.

Sur Android, il se propage via un SDK appelé Spark, qui est basé sur Java, se faisant passer pour un module d’analyse et s’injectant dans les applications. Lorsque l’utilisateur lance l’application infectée, le logiciel malveillant récupérera un fichier de configuration chiffré à partir d’un dépôt GitLab distant.

Une fois activé, SparkCat utilise la fonctionnalité de reconnaissance optique de caractères de Google ML Kit pour analyser les images dans la galerie de l’appareil. Il recherche des mots-clés liés aux phrases de récupération de portefeuille de cryptomonnaie dans plusieurs langues, y compris l’anglais, le chinois, le japonais, le coréen et plusieurs langues européennes, selon KasperSky.

Le logiciel malveillant envoie des images à un serveur contrôlé par un attaquant pour exfiltrer des données volées. Les méthodes de transfert incluent l’utilisation du stockage cloud Amazon, ainsi que du protocole basé sur Rust. Cela rend vraiment difficile à suivre car cela implique des canaux de communication chiffrés et des techniques de transmission de données inhabituelles.

Compromis iOS via un cadre malveillant

La variante iOS de SparkCat fonctionne différemment car elle s’intègre dans des applications compromises en tant que framework sous différents noms tels que GZIP, googleappsdk ou stat. Ce framework malveillant, écrit en Objective-C, est obscurci à l’aide de HikariLLVM et intègre Google ML Kit pour l’analyse d’images de la galerie de l’appareil.

Contrairement à la version Android, sur iOS, le logiciel malveillant demande l’accès à la galerie de photos uniquement lorsque des actions spécifiques sont effectuées par les utilisateurs, telles que l’ouverture d’un chat d’assistance dans une application infectée. Cela réduit les suspicions tout en permettant au logiciel malveillant de récupérer des informations liées au portefeuille.

Le rapport de Kaspersky affirme que, outre les phrases de récupération, le logiciel malveillant est capable de voler d’autres données sensibles. Cela comprend les mots de passe stockés et le contenu des messages capturés dans des captures d’écran. Les experts en sécurité estiment que SparkCat a déjà compromis plus de 242 000 appareils, principalement en Europe et en Asie.

Cependant, l’origine du logiciel malveillant est inconnue. Sur la base des commentaires de code et des messages d’erreur, on peut déterminer que les développeurs parlent chinois. Les attaques de logiciels malveillants contre les utilisateurs de crypto-monnaie continuent de s’intensifier, les cybercriminels trouvant à plusieurs reprises des moyens de contourner les mesures de sécurité imposées par les places de marché d’applications.

En septembre 2024, Binance a signalé le malware Clipper, qui a remplacé les adresses de portefeuille copiées par des adresses contrôlées par l’attaquant. Il conduit les victimes à envoyer involontairement des fonds vers des destinations frauduleuses. Comme nous l’avons discuté, l’année dernière en 2024, les investisseurs ont perdu plus de 3 milliards de dollars dans des escroqueries et des piratages de crypto.