Enregistrez-vous les détails de votre portefeuille et votre phrase de récupération en photo sur votre téléphone ? Ce cheval de Troie pourrait vous cibler.

Une nouvelle souche de logiciel espion mobile, nommée SparkKitty, a infiltré l’App Store d’Apple et Google Play, se faisant passer pour des applications à thème crypto et modifiées afin d’extraire furtivement des images de phrases de récupération et d’identifiants de portefeuille.

Ce logiciel malveillant semble être le successeur de SparkCat, une campagne découverte pour la première fois début 2025, qui utilisait de faux modules de chat d’assistance pour accéder silencieusement aux galeries des utilisateurs et exfiltrer des captures d’écran sensibles.

SparkKitty pousse la même stratégie plusieurs étapes plus loin, ont déclaré des chercheurs de Kaspersky dans un article publié lundi.

Contrairement à SparkCat, qui se propageait principalement via des packages Android non officiels, SparkKitty a été confirmé dans plusieurs applications iOS et Android disponibles via les boutiques officielles, y compris une application de messagerie avec des fonctionnalités d’échange crypto (plus de 10 000 installations sur Google Play) et une application iOS appelée “币coin,” déguisée en suivi de portefeuille.

Au cœur de la variante iOS se trouve une version armée des frameworks AFNetworking ou Alamofire, où les attaquants ont intégré une classe personnalisée qui se lance automatiquement au démarrage de l’application grâce au sélecteur +load d’Objective-C.

Au démarrage, il vérifie une valeur de configuration cachée, récupère une adresse de commande et contrôle (C2), puis analyse la galerie de l’utilisateur et commence à téléverser des images. Une adresse C2 instruit le malware sur ce qu’il doit faire, comme quand voler des données ou envoyer des fichiers, et reçoit en retour les informations volées.

La variante Android utilise des bibliothèques Java modifiées pour atteindre le même objectif. Une reconnaissance optique de caractères (OCR) est appliquée via Google ML Kit pour analyser les images. Si une phrase de récupération ou une clé privée est détectée, le fichier est signalé et envoyé aux serveurs de l’attaquant.

L’installation sur iOS se fait via des profils de provisioning entreprise, une méthode destinée aux applications internes d’entreprise mais souvent exploitée pour des malwares.

Les victimes sont trompées afin de faire confiance manuellement à un certificat développeur lié à “SINOPEC SABIC Tianjin Petrochemical Co. Ltd.,” conférant à SparkKitty des permissions au niveau système.

Plusieurs adresses C2 utilisaient des fichiers de configuration chiffrés en AES-256 hébergés sur des serveurs obfusqués.

Une fois décryptés, ils pointent vers des récupérateurs de charge utile et des points de terminaison, tels que /api/putImages et /api/getImageStatus, où l’application détermine s’il faut téléverser ou différer la transmission des photos.

Les chercheurs de Kaspersky ont découvert d’autres versions du malware utilisant une bibliothèque OpenSSL falsifiée (libcrypto.dylib) avec une logique d’initialisation obfusquée, indiquant un ensemble d’outils en évolution et plusieurs vecteurs de distribution.

Bien que la plupart des applications semblent cibler des utilisateurs en Chine et en Asie du Sud-Est, rien dans le malware ne limite sa portée régionale.

Apple et Google ont retiré les applications en question suite à la divulgation, mais la campagne est probablement active depuis début 2024 et pourrait encore se poursuivre via des variantes chargées latéralement et des boutiques clones, ont averti les chercheurs.

Lire la suite : Des hackers nord-coréens ciblent les principales entreprises crypto avec des malwares cachés dans des candidatures d’emploi