Catastrophe sur l’App Store : Ce malware dérobe vos cryptos !

En 2024, les cryptocriminels ont engendré la perte de 40 à 50 milliards de dollars, selon Chainalysis. Sans surprise, leurs méthodes continuent d’évoluer afin de dérober toujours plus de fonds. Récemment, des chercheurs en cybersécurité de Kaspersky ont mis en évidence un nouveau malware baptisé SparkCat. Qui, une fois n’est pas coutume, cible spécifiquement les utilisateurs de cryptomonnaies.

Un logiciel malveillant dissimulé dans des applications légitimes

Mercredi 5 février, SecureList, la branche spécialisée dans la recherche en cybersécurité de l’entreprise Kaspersky a tiré la sonnette d’alarme concernant un nouveau logiciel malveillant qui cible les cryptomonnaies.

Ce malware se présente sous la forme d’un petit module de code intégré dans diverses applications mobiles. Cela lui permet de s’infiltrer sans que vous le remarquiez.

Une fois l’application vérolée installée, il est capable de parcourir les images stockées sur votre appareil pour repérer et copier les seed phrases. Et de fait, récupérer vos précieuses cryptomonnaies. Pour cela, il utilise une méthode appelée OCR qui permet de lire automatiquement le texte présent dans une image.

Initialement détecté sur Android, SparkCat s’est rapidement étendu à l’écosystème iOS. Cela marque le premier cas connu d’infiltration d’un stealer OCR dans l’App Store officiel d’Apple.

Malheureusement, celui-ci est présent dans un grand nombre d’applications d’apparence inoffensive. Il a par exemple été détecté dans l’application d’un service de livraison de nourriture intitulé ComeCome.

Sur Google Play, les applications touchées cumuleraient plus de 242  000 installations. De plus, les chercheurs ont également identifié des infections similaires sur des applications iOS.

« Nous avons détecté une série d’applications intégrant un cadre malveillant dans l’App Store. Nous ne pouvons pas confirmer avec certitude si l’infection résulte d’une attaque ciblée ou d’une action délibérée des développeurs. »

Une approche sophistiquée

Comme nous venons de le voir, SparkCat repose sur l’intégration d’un petit module de code (SDK) malveillant directement inséré dans des applications légitimes. Ce module exploite une technologie de reconnaissance optique de caractères (OCR) pour analyser automatiquement les images stockées sur l’appareil et repérer les seed phrases qui pourraient être stockées. En pratique, il utilise le même type de méthode que les applications de numérisation de documents pour analyser les images.

Une fois ces informations sensibles extraites, SparkCat les chiffre à l’aide d’algorithmes robustes (comme l’AES) et les compresse pour optimiser leur transfert vers des serveurs contrôlés par les attaquants. Cette approche permet de masquer les données volées. De surcroit, elle permet de rendre le module adaptable, puisque sa configuration peut être mise à jour à distance. 

Ainsi, grâce à ces techniques avancées, SparkCat parvient à opérer sans être détecté. De plus, comme il se fond dans le code d’applications légitimes, il échappe aux contrôles de sécurité. Même les plus drastiques comme ceux appliqués sur l’Apple Store.

Après avoir été alertés par les chercheurs en cybersécurité, Google et Apple ont tous deux pris des mesures. Et ce, en retirant plusieurs de ces applications de leurs stores respectifs. Toutefois, difficile à ce jour de quantifier la taille du préjudice causé par ce malware.

En novembre dernier, la même équipe de chercheurs avait révélé les dessous d’un faux jeu blockchain, une fois de plus destiné à dérober des cryptomonnaies. À l’origine de la manœuvre, nous retrouvions BlueNoroff, un sous-groupe de Lazarus, également à la botte du gouvernement nord-coréen.