Les logiciels malveillants qui comprennent le code pour la lecture du contenu des captures d’écran ont été trouvés dans les applications suspectes de l’App Store pour la première fois, selon un rapport de Kaspersky.
Surnommée « Sparkcat », le malware comprend des capacités OCR pour déterminer les informations sensibles dont un utilisateur d’iPhone a pris une capture d’écran. Les applications que Kaspersky ont découvertes visent à localiser les phrases de récupération pour les portefeuilles cryptographiques, ce qui permettrait aux attaquants de voler le bitcoin et d’autres crypto-monnaies.
Les applications incluent un module malveillant qui utilise un plug-in OCR créé avec la bibliothèque de kit ML de Google pour reconnaître le texte trouvé à l’intérieur d’images sur un iphone. Lorsqu’une image pertinente d’un portefeuille cryptographique est située, elle est envoyée à un serveur accessible par l’attaquant.
Selon Kaspersky, SparkCat est actif depuis vers mars 2024. Des logiciels malveillants similaires ont été découverts en 2023 qui ciblaient les appareils Android et PC, mais il s’est maintenant propagé à iOS. Kaspersky a localisé plusieurs applications de magasin App avec des logiciels espions OCR, y compris Comecome, WETINK et Anygpt, mais il n’est pas clair si l’infection était une « action délibérée des développeurs » ou le « résultat d’une attaque de chaîne d’approvisionnement ».
Les applications infectées demandent l’autorisation d’accéder aux photos d’un utilisateur après avoir été téléchargée et, si vous êtes autorisé, utilisez la fonctionnalité OCR pour trier les images à la recherche de texte pertinent. Plusieurs des applications sont toujours dans le magasin App et semble cibler les utilisateurs d’iOS en Europe et en Asie.
Alors que les applications visent à voler des informations de cryptographie, Kaspersky dit que le malware est suffisamment flexible pour qu’il puisse également être utilisé pour accéder à d’autres données capturées dans des captures d’écran, comme les mots de passe. Les applications Android sont également touchées, y compris les applications du Google Play Store, mais les utilisateurs iOS s’attendent souvent à ce que leurs appareils soient résistants aux logiciels malveillants.
Apple vérifie chaque application du magasin app »et une application malveillante marque un échec du processus d’examen des applications d’Apple. Dans ce cas, il ne semble pas y avoir une indication évidente d’un Troie dans l’application, et les autorisations qu’il demande semblent nécessaires pour la fonctionnalité de base.
Kaspersky suggère que les utilisateurs devraient éviter de stocker des captures d’écran avec des informations sensibles comme les phases de récupération du portefeuille cryptographique dans leur photo-bibliothèque pour rester à l’abri de ce type d’attaque.
Une liste complète des cadres iOS infectés est disponible sur Le site Web de Kasperskyainsi que plus d’informations sur les logiciels malveillants.
