Kaspersky Labs, une société spécialisée en cybersécurité, a mis en lumière une campagne de logiciels malveillants particulièrement élaborée qui vise les utilisateurs de crypto-monnaie. Cette campagne utilise des kits de développement logiciels (SDK) intégrés dans des applications mobiles disponibles sur Google Play et l’App Store d’Apple.
Les applications compromise exploitent un outil de reconnaissance optique de caractères (OCR) pour analyser les photos des utilisateurs à la recherche de phrases de récupération de portefeuilles cryptographiques. Cela permet aux cybercriminels de siphonner les fonds des portefeuilles touchés.
Dans un rapport détaillé publié en février 2025, les analystes de Kaspersky, Sergey Puzan et Dmitry Kalinin, ont expliqué comment le malware, dénommé SparkCat, infiltre les appareils et recherche des images contenant des phrases de récupération grâce à une détection de mots clés en plusieurs langues.
EXPLORER: 10 pièces avec des rendements élevés: prévision de crypto 2025
Lire plus
Les phrases de récupération permettent aux attaquants d’accéder aux portefeuilles cryptographiques
Une fois les phrases extraites, les attaquants obtiennent un accès total aux portefeuilles cryptographiques des victimes. “Les intrus volent des phrases de récupération pour les portefeuilles cryptographiques, ce qui suffit à prendre le contrôle total du portefeuille de la victime et à siphonner plus de fonds”, ont déclaré les chercheurs.
Ils ont également mis en garde contre la capacité du malware à voler d’autres données sensibles, y compris des mots de passe et messages privés capturés dans des captures d’écran.
Sur Android, le malware se camoufle en un module d’analyse Java appelé Spark et reçoit des mises à jour opérationnelles via un fichier de configuration crypté hébergé sur Gitlab. Il utilise le kit ML OCR de Google pour extraire du texte à partir d’images stockées sur les dispositifs infectés.
Si une phrase de récupération est détectée, le malware l’envoie aux attaquants, qui peuvent ensuite importer le portefeuille cryptographique de la victime sur leurs propres appareils sans nécessiter de mot de passe.
Kaspersky estime que SparkCat a été téléchargé environ 242 000 fois depuis son apparition en mars 2023, ciblant principalement des utilisateurs en Europe et en Asie.
Depuis la mi-2024, nous suivons une campagne de logiciels malveillants Android sophistiquée qui exploite les invitations de mariage à tromper les utilisateurs dans l’installation d’un voleur APK malveillant – Tria.
Une fois installé, ce malware intercepte les messages SMS, suit les journaux d’appels et vole les données de Gmail et… pic.twitter.com/tqbqjhvmjm
– Kaspersky (@kaspersky) 3 février 2025
Le malware a été découvert dans de nombreuses applications, certaines d’apparence légitime, comme des services de livraison de nourriture, tandis que d’autres, au design douteux, cherchent à piéger leurs victimes, notamment des applications de messagerie intégrant des fonctionnalités d’IA.
Les applications infectées partagent des caractéristiques communes, notamment l’utilisation du langage de programmation Rust, qui est peu courant dans les applications mobiles, ainsi que des techniques d’obscurcissement rendant leur détection difficile.
EXPLORER: 10 pièces avec des rendements élevés: prévision de crypto 2025
Origines non identifiées
Puzan et Kalinin ont noté qu’il est encore incertain si les applications affectées ont été intentionnellement dotées de logiciels malveillants par leurs développeurs, ou si elles ont été compromises lors d’une attaque de la chaîne d’approvisionnement.
«Certaines applications, comme les services de livraison de nourriture, paraissent légitimes, tandis que d’autres semblent clairement conçues pour amadouer les victimes», ont indiqué les chercheurs, ajoutant que plusieurs applications de messagerie d’IA similaires ont été reliées à un même développeur.
Bien que Kaspersky n’ait pas associé SparkCAT à un groupe de piratage spécifique, des indices dans le code du malware indiquent une certaine maîtrise du chinois, notamment des commentaires et des messages d’erreur en cette langue.
Le malware présente des ressemblances avec une campagne découverte en mars 2023 par des chercheurs d’ESET, mais sa provenance exacte demeure indéterminée.
Kaspersky recommande aux utilisateurs de ne pas sauvegarder des informations sensibles, comme les phrases de récupération de portefeuille crypto, dans leurs galeries de photos. Au lieu de cela, ils conseillent d’utiliser des gestionnaires de mots de passe et de procéder régulièrement à des vérifications pour supprimer les applications douteuses.
EXPLORER: 15 nouvelles et imminentes listes sur Coinbase à surveiller en 2025
Le poste Des SDK malveillants sur Google Play et l’App Store volent des phrases de récupération de crypto: Kaspersky est apparu en premier sur 99bitcoins.
Resume: Kaspersky Labs a découvert une campagne malveillante ciblant des utilisateurs de crypto-monnaie à travers des applications infectées disponibles sur les principales plateformes. Le malware, nommé SparkCat, utilise l’OCR pour extraire des phrases de récupération et compromet la sécurité des portefeuilles. Les utilisateurs sont avertis de ne pas stocker d’informations sensibles sur leurs appareils et d’utiliser des moyens plus sécurisés. La provenance et les méthodes d’attaque des développeurs restent floues, renforçant l’urgence de la vigilance.}
