Un malware sur iOS et Android utilise vos captures d’écran pour voler des cryptomonnaies
Des applications mobiles dissimulent un malware qui utilise la reconnaissance optique de caractères pour dérober des informations sensibles liées aux cryptomonnaies.
Tl;dr
- Des applications iOS et Android cachent un malware utilisant la reconnaissance optique de caractères (OCR) pour analyser les captures d’écran.
- Le malware « SparkCat » cible les mots de passe de portefeuilles crypto et les phrases de récupération présentes dans les images.
- Des apps comme WeTink, AnyGPT et ComeCome sont infectées et restent disponibles sur les stores d’Apple et Google.
Une première découverte alarmante
Leader mondial des solutions et services de cybersécurité, Kaspersky a révélé aujourd’hui que des applications présentes sur l’App Store d’Apple et le Google Play Store dissimulaient un code malveillant qui utilise une technologie de reconnaissance optique de caractères (OCR) pour extraire des informations de captures d’écran. Il s’agit de la première découverte connue de ce type de malware dans l’App Store, qui permettrait de voler des mots de passe de portefeuilles crypto. Ce malware, appelé « SparkCat », a été identifié fin 2024, mais les frameworks de cette attaque semblent avoir été développés dès mars de la même année.
Un processus discret
Le malware opère en demandant l’accès aux galeries de photos des utilisateurs lorsqu’ils tentent d’utiliser une fonctionnalité de chat dans les applications infectées. Après avoir obtenu l’autorisation de l’utilisateur, le code malveillant exploite la technologie OCR de Google pour analyser des images et rechercher des captures d’écran de mots de passe de portefeuilles ou de phrases de récupération. Si de telles images sont trouvées, elles sont envoyées aux attaquants, qui peuvent ensuite les utiliser pour accéder aux portefeuilles et voler des cryptomonnaies.
Des applications toujours disponibles
Kaspersky a identifié plusieurs applications infectées qui sont encore disponibles à la fois sur l’App Store d’Apple et sur Google Play. Parmi celles-ci figurent des applications d’IA comme WeTink et AnyGPT, qui semblent avoir été créées dans le cadre de cette campagne malveillante. En outre, une application de livraison de nourriture, ComeCome, a également été trouvée portant ce code malveillant. Ces applications ont été jugées suffisamment légitimes pour attirer des utilisateurs, mais elles cachent des intentions malveillantes, rendant difficile la détection pour les utilisateurs non avertis.
La question de la sécurité dans les magasins d’applications
Kaspersky souligne qu’il n’est pas encore certain si l’infection a été causée par une attaque de la chaîne d’approvisionnement ou si les développeurs ont agi de manière délibérée. En tout cas, cette découverte soulève des inquiétudes quant à la sécurité des applications mobiles, même celles qui proviennent de sources réputées comme l’App Store d’Apple. Il est donc impératif que les utilisateurs soient vigilants et prennent des précautions supplémentaires, comme l’activation de la vérification en deux étapes et l’évitement d’applications dont ils ne connaissent pas l’origine.
