Les chercheurs de Kaspersky ont découvert des logiciels malveillants se cachant à la fois dans Google Play et App Store d’Apple qui utilise la reconnaissance optique des caractères pour voler des phrases de récupération de portefeuille de crypto-monnaie des galeries de photos des utilisateurs. Surnommé « Sparkcat » par la société de sécurité ESET, le malware était intégré dans plusieurs applications de messagerie et de livraison de nourritureavec les applications Google Play infectées accumulant plus de 242 000 téléchargements combinés.
Cela marque la première instance connue de ces logiciels espions basés sur OCR en faisant partie de l’App Store d’Apple. Le malware, actif depuis mars 2024, se masque en tant que SDK d’analyse appelé « Spark » et exploite la bibliothèque de kit ML de Google pour scanner les photos des utilisateurs pour les phrases de récupération de portefeuille en plusieurs langues. Il demande l’accès à la galerie sous le couvert d’autoriser les utilisateurs à joindre des images pour prendre en charge les messages de chat. Lorsqu’il est accordé à l’accès, il recherche des mots clés spécifiques liés aux portefeuilles cryptographiques et télécharge des images correspondantes aux serveurs contrôlés par l’attaquant.
Les chercheurs ont trouvé des variantes Android et iOS en utilisant des techniques similaires, la version iOS étant particulièrement notable car elle a contourné le processus d’examen des applications typiquement d’Apple. Les créateurs du malware semblent être des acteurs de langue chinois sur la base des commentaires de code et des messages d’erreur du serveur, bien que l’attribution définitive reste claire.
