Les experts du centre de recherche sur les menaces de Kaspersky ont découvert un nouveau cheval de Troie Infostealer, SparkCat, qui opère dans l'AppStore et Google Play depuis au moins mars 2024. Il s'agit du premier cas connu de logiciel malveillant basé sur la reconnaissance optique repéré dans l'AppStore. SparkCat utilise l'apprentissage automatique pour analyser des galeries d'images et y voler des captures d'écran contenant des phrases de récupération de portefeuilles de cryptomonnaie. Il peut également trouver et extraire d'autres données sensibles dans les images, comme les mots de passe. Kaspersky a signalé les applications malveillantes identifiées à Google et à Apple.
Comment les nouveaux logiciels malveillants se propagent-ils ?
Le malware se propage à la fois par le biais d'applications légitimes infectées et de fausses applications prenant l’apparence de services de messageries, d’assistants IA, de livraison de nourriture, de cryptomonnaies, etc. Certaines de ces applications sont disponibles sur les plateformes officielles de Google Play et de l'AppStore. Les données télémétriques de Kaspersky montrent également que des versions infectées sont distribuées via d'autres sources non officielles. Sur Google Play, ces applications ont été téléchargées plus de 242 000 fois.
Qui est visé ?
Le logiciel malveillant cible principalement les utilisateurs des Émirats arabes unis et des pays d'Europe et d'Asie. C'est ce que les experts ont conclu en se basant à la fois sur les informations relatives aux zones opérationnelles des applications infectées et sur l'analyse technique du logiciel malveillant. SparkCat analyse les galeries d'images à la recherche de mots-clés dans plusieurs langues, dont le chinois, le japonais, le coréen, l'anglais, le français, l'italien, le polonais, le portugais et le tchèque. Toutefois, les experts estiment qu’il pourrait également y avoir des victimes dans d'autres pays.
Comment fonctionne SparkCat ?
Une fois installé, le nouveau logiciel malveillant demande, dans certains cas, l'accès aux photos de la galerie du smartphone de l'utilisateur. Il analyse ensuite le texte des images stockées à l'aide d'un module de reconnaissance optique de caractères (OCR). Si le voleur détecte des mots-clés pertinents, il envoie l'image aux attaquants. L'objectif principal des pirates est de trouver les phrases de récupération de portefeuilles de cryptomonnaie. Avec ces informations, ils peuvent prendre le contrôle total du portefeuille d'une victime et en détourner les fonds. Outre le vol de phrases de récupération, l’infostealer est capable d'extraire d'autres informations personnelles des captures d'écran, telles que des messages privés et des mots de passe.
« C'est le premier cas connu de cheval de Troie basé sur l'OCR à infiltrer l'AppStore », a déclaré Sergey Puzan, analyste de logiciels malveillants chez Kaspersky. « En ce qui concerne l'AppStore et Google Play, on ne sait pas encore si les applications de ces magasins ont été compromises par une attaque de la chaîne d'approvisionnement ou par d'autres méthodes. Certaines applications, comme les services de livraison de nourriture, semblent légitimes, tandis que d'autres sont clairement conçues pour servir d’appât. »
« La campagne SparkCat présente des caractéristiques uniques qui la rendent dangereuse. Tout d'abord, elle se propage par le biais des boutiques d'applications officielles et opère sans signes évidents d'infection. La furtivité de ce cheval de Troie fait qu'il est difficile de le découvrir, tant pour les modérateurs des boutiques que pour les utilisateurs mobiles. De plus, les autorisations qu'il demande semblent raisonnables, ce qui les rend faciles à ignorer. L'accès à la galerie que le logiciel malveillant tente d'atteindre peut sembler essentiel au bon fonctionnement de l'application, du point de vue de l'utilisateur. Cette autorisation est généralement demandée dans des contextes pertinents, par exemple lorsque les utilisateurs contactent le service clientèle », ajoute Dmitry Kalinin, analyste de logiciels malveillants chez Kaspersky.
En analysant les versions Android du logiciel malveillant, les experts de Kaspersky ont trouvé des commentaires écrits en chinois dans le code. En outre, la version iOS contenait les noms de répertoires personnels de développeurs « qiongwu » et « quiwengjing », ce qui suggère que les acteurs de la menace à l'origine de la campagne parlent couramment le chinois. Toutefois, il n'y a pas suffisamment de preuves pour attribuer la campagne à un groupe cybercriminel connu.
Attaques basées sur le ML
Les cybercriminels exploitent de plus en plus les réseaux neuronaux dans leurs outils malveillants. Dans le cas de SparkCat, le module Android décrypte et exécute un plugin OCR utilisant la bibliothèque Google ML Kit pour reconnaître du texte dans des images stockées. Une méthode similaire a été utilisée dans son module malveillant iOS.
Les solutions Kaspersky protègent les utilisateurs d'Android et d'iOS contre SparkCat. Il est détecté comme HEUR:Trojan.IphoneOS.SparkCat.* et HEUR:Trojan.AndroidOS.SparkCat.*.
Le rapport complet sur cette campagne de logiciels malveillants est disponible sur Securelist.
