Pour la première fois, un malware capable de lire le contenu des captures d’écran a été découvert dans des applications a priori inoffensives proposées sur l’App Store (et aussi sur le Google Play Store). Selon Kaspersky, le malware baptisé SparkCat utilise des technologies OCR pour extraire des informations sensibles stockées dans les images des smartphones, notamment les phrases de récupération des portefeuilles de cryptomonnaies.
Comment fonctionne SparkCat ?
Le logiciel malveillant SparkCat cible les utilisateurs d’iPhone et va utiliser la bibliothèque Google ML Kit via la reconnaissance optique de caractères (OCR). Son objectif principal est de scanner les captures d’écran sur le smartphone, et ce, pour identifier des phrases de récupération de portefeuilles crypto. Une fois une image pertinente détectée, elle est automatiquement envoyée à un serveur contrôlé par les attaquants, permettant ainsi le vol de bitcoins et autres cryptomonnaies.
D’après Kaspersky, SparkCat serait actif depuis mars 2024 et représente une évolution d’un malware similaire détecté en 2023, qui ciblait uniquement Android et PC. La firme de cybersécurité a identifié plusieurs applications infectées sur l’App Store, notamment ComeCome, WeTink et AnyGPT. Ces applications demandent l’accès aux photos après leur installation. Si l’utilisateur accorde cette permission, elles pourront utiliser l’OCR pour analyser les images stockées sur l’appareil.
Plus inquiétant encore, certaines de ces applications malveillantes sont toujours disponibles sur l’App Store et ciblent principalement des utilisateurs en Europe et en Asie. Il n’est pas encore clair si cette infection est due à une action délibérée des développeurs ou à une attaque via la chaîne d’approvisionnement.
Comment se protéger contre SparkCat ?
Pour minimiser les risques d’exposition à ce type de malware, Kaspersky recommande plusieurs bonnes pratiques, à commencer par le plus simple : éviter de stocker des captures d’écran contenant des informations sensibles (phrases de récupération, mots de passe, codes de sécurité).
A cela s'ajoute quelques bonnes pratiques, comme restreindre les permissions d’accès aux photos aux applications qui n’en ont pas strictement besoin, vérifier les avis et la réputation des applications avant de les télécharger, ou encore mettre régulièrement à jour son iPhone et ses applications pour bénéficier des derniers correctifs de sécurité.
Kaspersky a publié une liste complète des frameworks iOS infectés sur son site Web, ainsi que plus d’informations sur SparkCat et ses méthodes d’attaque.
Une menace qui va au-delà des cryptomonnaies
Si SparkCat se concentre actuellement sur le vol d’informations liées aux cryptomonnaies, son potentiel de nuisance est bien plus large. Pour Kaspersky, le malware pourrait tout aussi bien capter des mots de passe ou d’autres données sensibles visibles sur les captures d’écran des utilisateurs.
Bien qu’Apple procède à une vérification systématique des applications de l’App Store, SparkCat met en évidence une faille dans le processus de validation. Pour autant, les autorisations demandées par ces applications ne semblaient pas suspectes, et le malware très bien caché, ce qui leur a permis d’échapper à la vigilance des équipes de validation d’Apple.
