Les chercheurs de Kaspersky ont détaillé une campagne de logiciels malveillants multiplateformes qui cible les phrases de récupération de portefeuille de crypto-monnaie via des applications mobiles malveillantes.
Selon Un rapport récentla campagne «SparkCat» utilise un kit de développement de logiciel malveillant (SDK) intégré dans des applications de messagerie modifiées et d’autres applications pour scanner les galeries d’images des utilisateurs pour les données de récupération sensibles. Cette technique a été observée pour la première fois en mars 2023.
À l’époque, les chercheurs en cybersécurité ont observé des fonctionnalités de logiciels malveillants dans les applications de messagerie scannant des galeries d’utilisateurs pour les phrases de récupération de portefeuille cryptographique – communément connues sous le nom de mnémoniques – pour envoyer aux serveurs distants.
La campagne initiale n’a affecté que les utilisateurs d’Android et Windows via des sources d’application non officielles, ont déclaré les chercheurs.
Ce n’est pas vrai pour SparkCat, qui a été découvert fin 2024. Cette nouvelle campagne utilise un cadre SDK intégré dans diverses applications disponibles sur les marchés d’applications officielles et non officiels pour les appareils Android et iOS.
Dans un cas, une application de livraison de nourriture appelée «Comecome» sur Google Play a été trouvée pour inclure le SDK malveillant. Les applications infectées ont été installées collectivement plus de 242 000 fois, et des logiciels malveillants similaires ont ensuite été identifiés dans les applications disponibles sur l’App Store d’Apple.
Stephen Ajayi, responsable technique de l’audit du DAPP à la firme de cybersécurité Crypto Hacken, a dit Décrypter Le fait que les mesures préventives utilisées par les magasins d’applications représentent généralement des chèques automatisées et incluent rarement des examens manuels.
Slava Demchuk, PDG de la société d’analyse de la blockchain AMLBOT, a en outre souligné que le problème est aggravé par l’obscurcissement du code et les mises à jour malveillantes qui introduisent des logiciels malveillants après qu’une application a déjà été approuvée.
« Dans le cas de Sparkcat, les attaquants ont obscurci le point d’entrée pour cacher leurs actions aux chercheurs en sécurité et aux forces de l’ordre », a-t-il déclaré Décrypter. « Cette tactique les aide à échapper à la détection tout en gardant leurs méthodes secrètes des concurrents. »
Le malware utilise la bibliothèque de kit ML de Google pour effectuer la reconnaissance optique des caractères (OCR) sur les images stockées sur les appareils des utilisateurs. Lorsque les utilisateurs accèdent à une fonction de chat d’assistance dans l’application, le SDK demande les invite à une demande d’autorisation pour lire la galerie d’images.
Si l’autorisation est accordée, l’application analyse les images des mots clés qui suggèrent une présence mnémonique en plusieurs langues. Les images correspondantes sont ensuite cryptées et transmises à un serveur distant.
Demchuk a noté que «ce vecteur d’attaque est assez inhabituel – j’ai surtout vu des tactiques similaires dans la fraude ATM, où les attaquants volent des codes PIN.»
Il a ajouté que le fait de retirer une telle attaque nécessite un bon niveau de prouesses techniques, et si le processus devenait plus simple à reproduire, cela pourrait causer beaucoup plus de dégâts.
« Si des fraudeurs expérimentés commencent à vendre des scripts prêts à l’emploi, cette méthode pourrait se propager rapidement », a-t-il déclaré.
Ajayi a accepté, notant que «l’OCR à scanner est une astuce si intelligente», mais il pense qu’il y a encore de l’amélioration. « Imaginez la combinaison d’OCR et d’IA pour choisir automatiquement des informations sensibles à partir d’images ou d’écrans. »
En tant que conseils aux utilisateurs, Demchuk a recommandé de réfléchir à deux fois avant d’accorder des autorisations aux applications. Ajayi suggère également que les développeurs de portefeuilles «devraient trouver de meilleures façons de gérer et d’afficher des données sensibles comme des phrases de graines».
Édité par Stacy Elliott.
Débriefing quotidien Bulletin
Commencez chaque jour avec les meilleurs reportages en ce moment, ainsi que des fonctionnalités originales, un podcast, des vidéos et plus encore.
