Enregistrer les Détails de Votre Portefeuille ou votre Phrase de Récupération en Photo sur Votre Téléphone ? Ce Cheval de Troie Peut Vous Cibler

Une nouvelle souche de logiciel espion mobile, baptisée SparkKitty, a infiltré l'App Store d'Apple et Google Play, se faisant passer pour des applications cryptos et modifiées afin d'extraire discrètement les images de phrases de récupération et les identifiants de portefeuille.

Ce malware semble être le successeur de SparkCat, une campagne découverte début 2025, qui utilisait de faux modules de chat d'assistance pour accéder silencieusement aux galeries utilisateurs et exfiltrer des captures d'écran sensibles.

SparkKitty pousse cette stratégie encore plus loin, ont déclaré les chercheurs de Kaspersky dans un post publié lundi.

Contrairement à SparkCat, qui se propage principalement via des packages Android non officiels, SparkKitty a été confirmé dans plusieurs applications iOS et Android disponibles sur les stores officiels, notamment une application de messagerie avec fonctionnalités d'échange crypto (avec plus de 10 000 installations sur Google Play) et une application iOS appelée "币coin", déguisée en tracker de portefeuille.

Au cœur de la variante iOS se trouve une version weaponisée du framework AFNetworking ou Alamofire, où les attaquants ont intégré une classe personnalisée qui s'exécute automatiquement au lancement de l'application en utilisant le sélecteur +load d'Objective-C.

Au démarrage, il vérifie une valeur de configuration cachée, récupère une adresse de commande et contrôle (C2), puis scanne la galerie de l'utilisateur et commence à télécharger des images. Une adresse C2 indique au malware quoi faire, comme quand voler des données ou envoyer des fichiers, et reçoit les informations volées.

La variante Android utilise des bibliothèques Java modifiées pour atteindre le même objectif. La reconnaissance optique de caractères (OCR) est appliquée via Google ML Kit pour analyser les images. Si une phrase de récupération ou une clé privée est détectée, le fichier est signalé et envoyé aux serveurs des attaquants.

L'installation sur iOS se fait via des profils de provisionnement d'entreprise, une méthode destinée aux applications internes mais souvent exploitée pour les malwares.

Les victimes sont trompées pour qu'elles fassent manuellement confiance à un certificat de développeur lié à "SINOPEC SABIC Tianjin Petrochemical Co. Ltd.", donnant à SparkKitty des permissions au niveau du système.

Plusieurs adresses C2 utilisaient des fichiers de configuration chiffrés en AES-256 hébergés sur des serveurs obscurcis.

Une fois déchiffrés, ils pointent vers des chargeurs de payload et des endpoints, tels que /api/putImages et /api/getImageStatus, où l'application détermine s'il faut télécharger ou retarder les transmissions de photos.

Les chercheurs de Kaspersky ont découvert d'autres versions du malware utilisant une fausse bibliothèque OpenSSL (libcrypto.dylib) avec une logique d'initialisation obscurcie, indiquant une boîte à outils évolutive et plusieurs vecteurs de distribution.

Bien que la plupart des applications semblent cibler les utilisateurs en Chine et en Asie du Sud-Est, rien dans le malware ne limite sa portée régionale.

Apple et Google ont supprimé les applications concernées après leur divulgation, mais la campagne est probablement active depuis début 2024 et pourrait se poursuivre via des variantes side-loaded et des magasins clones, ont averti les chercheurs.

Traduit par X3n0n