Principaux renseignements
Le logiciel malveillant SparkKitty cible les portefeuilles de crypto-monnaies via des applications infectées.
Le logiciel malveillant vole des galeries de photos, extrayant des informations liées aux crypto-monnaies à l’aide de la technologie OCR.
SparkKitty s’engage dans des opérations systématiques de minage de crypto-monnaies, générant des flux de revenus continus pour les cybercriminels.
Un logiciel malveillant mobile sophistiqué baptisé « SparkKitty » a infiltré l’App Store d’Apple et Google Play, ciblant les portefeuilles de crypto-monnaies des utilisateurs. Cette campagne, active depuis février 2024, affecte principalement les utilisateurs d’Asie du Sud-Est et de Chine. Cela a été rapporté par Kaspersky.
SparkKitty se fait passer pour des applications légitimes telles que des mods TikTok, des traqueurs de portefeuilles de crypto-monnaies, des jeux d’argent et des applications pour adultes, demandant l’accès à des galeries de photos sous des prétextes apparemment inoffensifs. Les applications infectées, dont « Soex Wallet Tracker » et « Coin Wallet Pro », ont contourné les mesures de sécurité et accumulé des milliers de téléchargements.
Comment fonctionne le logiciel malveillant ?
Sur les appareils iOS, le logiciel malveillant se cache dans des cadres modifiés comme AFNetworking, exploitant le système de provisionnement Enterprise d’Apple pour installer des applications non signées en contournant les contrôles de sécurité standard. Le cadre corrompu conserve les fonctionnalités d’origine tout en incorporant secrètement des capacités de vol de photos déclenchées lorsque des conditions spécifiques sont réunies. Sur les plateformes Android, le code malveillant est intégré directement dans les points d’entrée des applications, en utilisant des thèmes liés aux crypto-monnaies pour attirer les victimes.
La caractéristique la plus dangereuse de SparkKitty est sa technologie avancée de reconnaissance optique de caractères (OCR). S’appuyant sur Google ML Kit, il identifie et extrait automatiquement les informations relatives aux crypto-monnaies des galeries de photos, sans examen manuel. Contrairement aux logiciels malveillants précédents qui s’appuient sur le vol en masse et l’analyse manuelle, SparkKitty cible les phrases de départ, les clés privées et les adresses de portefeuilles que les utilisateurs capturent généralement sur leur écran pour les sauvegarder – une pratique déconseillée en raison des risques pour la sécurité.
Opérations systématiques de minage de cryptomonnaies
La mise en œuvre de l’OCR du logiciel malveillant fait preuve d’une reconnaissance des formes sophistiquée, filtrant les images sur la base du contenu textuel et envoyant uniquement celles qui contiennent des informations liées à la cryptographie à des serveurs de commande et de contrôle. Cette approche ciblée minimise la transmission de données tout en maximisant la valeur des informations volées, ce qui permet aux attaquants de traiter efficacement des groupes de victimes plus importants.
Des recherches plus approfondies ont révélé des implémentations plus sophistiquées. Certaines versions ciblent les procédures de sauvegarde en affichant de faux avertissements de sécurité, ce qui incite les utilisateurs à révéler leurs phrases d’initialisation par le biais de l’ingénierie sociale. L’enregistreur d’accessibilité capture alors directement ces informations au lieu de s’appuyer uniquement sur les captures d’écran existantes.
Au-delà du vol individuel, l’impact de SparkKitty s’étend aux opérations systématiques de minage de crypto-monnaie. Des campagnes connexes, comme celle du groupe APT Librarian Ghouls, combinent le vol d’informations d’identification et le minage non autorisé de Monero sur des appareils compromis. Ces attaques à double objectif génèrent des flux de revenus continus pour les cybercriminels qui volent les crypto-monnaies existantes et exploitent les ressources informatiques des victimes pour le minage d’actifs numériques supplémentaires, transformant ainsi les appareils compromis en infrastructures génératrices de profits.