Photo: Antlii/Shutterstock
La société de cybersécurité Kaspersky Labs propose des produits destinés à renforcer la sécurité en ligne des entreprises et des consommateurs. Elle recense également la criminalité dans le monde de la cryptographie, comme le nombre croissant d’attaques par hameçonnage. L’entreprise d’origine russe n’échappe pas non plus à la cybercriminalité. Des crypto-malwares ont été découverts dans certains kits de développement logiciel (SDK) de Kaspersky.
Les logiciels malveillants recherchent des phrases de récupération
Des développeurs du monde entier utilisent les kits de développement logiciel de Kaspersky pour créer des applications pour le Google Play Store et l’Apple Store. Ce groupe doit actuellement faire preuve de prudence. Des logiciels malveillants ont été découverts dans certaines applications Apple et Google pour téléphones mobiles. C’est ce qu’écrivent deux analystes de Kaspersky dans un rapport. Le logiciel malveillant s’appelle « SparkCat » et les pirates l’utilisent pour piller les portefeuilles de cryptomonnaie. Kaspersky met en garde sur ‘X’ contre les dangers de ce logiciel malveillant :
*Attention aux ombres dans votre App Store.*
SparkCat’s claws sink deeper. First iOS crypto-stealer lurks in official stores, hijacking Google’s ML Kit to scan your gallery for wallet phrases. 242k+ downloads.
Even a « trusted » food app hid its venom…. Your images? Stolen. Your… pic.twitter.com/BXR8XVz3t3
— Kaspersky (@kaspersky) February 6, 2025
Tout le monde ne fait pas attention après avoir créé un portefeuille de cryptomonnaies. Certains font une capture d’écran de leur phrase de récupération, de peur d’oublier. C’est là que réside le danger du « SparkCat ». Sergey Puzan et Dmitry Kalinin sont analystes chez Kaspersky. Dans un rapport, ils décrivent le mode opératoire du logiciel malveillant :
« Les hackers volent des phrases de récupération pour les cryptomonnaies, ce qui leur donne le contrôle total du portefeuille de la victime et leur permet de voler des fonds ».
SparkCat utilise la reconnaissance optique de caractères. Cela signifie qu’il lit les chiffres, les lettres et les signes de ponctuation à partir d’une image. Dans ce cas, le logiciel malveillant recherche des captures d’écran contenant des phrases de récupération. Pour ce faire, il utilise des mots-clés dans différentes langues. Si la recherche est fructueuse, le logiciel malveillant remplit la phrase de récupération pour accéder au portefeuille de cryptomonnaie. Les pirates en dérobent alors le contenu en quelques secondes. En 2024, les pirates de cryptomonnaies ont réussi à s’emparer de plus de 1,2 milliard de dollars. Une évolution inquiétante pour le marché des cryptomonnaies et les investisseurs.
Outre le vol de phrases de récupération, « SparkCat » fait bien d’autres dégâts, écrivent Kalinin et Puzan :
« La flexibilité du logiciel malveillant lui permet de voler non seulement des phrases secrètes, mais aussi d’autres données personnelles de la galerie, telles que le contenu des messages ou les mots de passe laissés sur les captures d’écran ».
De nombreux utilisateurs d’Android et d’iOS déjà victimes
Des utilisateurs d’Android et d’iOS du monde entier ont déjà été victimes de « SparkCat ». La plupart des victimes sont originaires d’Europe et d’Asie. Dans une revue de la page Google apps, une victime révèle que le logiciel malveillant « scanne vos images et vole des informations personnelles ». Kaspersky estime que le logiciel malveillant a déjà été téléchargé 242 000 fois depuis mars 2024. Malheureusement, les Néerlandais n’échappent pas non plus aux diverses formes d’escroquerie cryptographique.
Le logiciel malveillant est un gros problème pour Google et Apple. Il est désormais présent dans des dizaines de vraies et fausses applications du Google Play Store et de l’Apple Store. Les applications infectées présentent certaines caractéristiques communes. Elles utilisent notamment le langage de programmation Rust, qui est rarement utilisé dans les applications mobiles. En outre, les applications infectées utilisent souvent des capacités multiplateformes et des techniques complexes qui rendent difficile la détection des crypto-malwares.
Selon les analystes de Kaspersky, il est très risqué de stocker des informations sensibles sur le téléphone. Au lieu de faire des captures d’écran, il est plus sage de sauvegarder la phrase de récupération via un gestionnaire de mots de passe. En outre, le trio conseille de désinstaller immédiatement les logiciels suspects et les applications infectées.
D’où vient le logiciel malveillant ?
On ne sait pas exactement comment le logiciel malveillant s’est introduit dans les applications. Il est possible que les développeurs aient délibérément intégré un cheval de Troie, ce qui signifie que le logiciel malveillant est caché dans un logiciel légitime. Les utilisateurs téléchargent le logiciel malveillant sans le savoir. Cependant, il n’existe aucune preuve de cette hypothèse. Une autre option est une attaque de la chaîne d’approvisionnement, dans laquelle les cybercriminels installent délibérément un code malveillant dans des mises à jour, des logiciels légitimes et/ou du matériel. Kalinin et Puzan ne se prononcent pas encore clairement sur la question, mais écrivent ce qui suit :
« Certaines applications, comme les services de livraison, semblent légitimes. D’autres sont clairement conçues pour attirer les victimes. Par exemple, nous avons vu plusieurs « applications de messagerie » similaires dotées de fonctions d’intelligence artificielle et créées par le même développeur.
L’origine du logiciel malveillant reste également un grand mystère. Il est toutefois possible que Kalinin et Puzan soient sur une piste. Les descriptions d’erreurs et les commentaires dans le code sont rédigés en chinois : « Par conséquent, nous avons des raisons de croire que le développeur du module malveillant parle couramment le chinois ». Kaspersky découvre régulièrement des formes d’escroquerie aux cryptomonnaies, comme des escrocs qui tentent ironiquement de voler l’argent des voleurs de cryptomonnaies.
Suivez nos dernières actualités sur les cryptomonnaies pour ne rien manquer des évolutions futures.
