Les chercheurs de Kaspersky ont découvert un nouveau cheval de Troie espion appelé SparkKitty qui cible les smartphones sous iOS et Android. Il permet d’envoyer des images et des informations enregistrées sur l'appareil infecté aux acteurs de la menace. Ce logiciel malveillant est intégré à des applications liées aux cryptomonnaies et à des jeux d'argent, ainsi que dans une application TikTok infectée par un cheval de Troie, distribuées sur l'App Store, Google Play, et sur des sites web frauduleux. Les experts suggèrent que l'objectif des pirates est de voler des crypto-actifs à des victimes localisées en Asie du Sud-Est et en Chine. Les utilisateurs français sont également susceptibles d'être confrontés à une cybermenace similaire.
Kaspersky a informé Google et Apple de l'existence de ces applications malveillantes. Certaines caractéristiques techniques suggèrent que cette nouvelle campagne malveillante est liée au cheval de Troie SparkCat découvert précédemment, un logiciel malveillant (le premier du genre sur iOS) doté d'un module de reconnaissance optique de caractères (OCR) intégré qui lui permet de scanner des galeries d'images et de voler des captures d'écran contenant des phrases de récupération ou des mots de passe de portefeuilles de cryptomonnaies. L'affaire SparkKitty est la deuxième fois en un an que les chercheurs de Kaspersky découvrent un cheval de Troie voleur sur l'App Store, après SparkCat.
iOS
« L'un des vecteurs de distribution du cheval de Troie s'est avéré être de faux sites web depuis lesquels les attaquants ont tenté d'infecter les iPhones des victimes. iOS dispose de plusieurs moyens légitimes pour installer des programmes ne provenant pas de l'App Store. Dans cette campagne malveillante, les attaquants ont utilisé l'un d'entre eux : des outils de développement spéciaux pour distribuer des applications professionnelles. Dans la version infectée de TikTok, le logiciel malveillant, en plus de voler des photos dans la galerie du smartphone, intègre des liens vers une boutique suspecte dans la fenêtre du profil de la personne. Cette boutique n'accepte que les cryptomonnaies, ce qui renforce nos inquiétudes à son sujet », explique Sergey Puzan, expert en logiciels malveillants chez Kaspersky.
Android
Les attaquants ont ciblé les utilisateurs à la fois sur des sites Web tiers et sur Google Play, faisant passer le logiciel malveillant pour divers services cryptographiques. Par exemple, l'une des applications infectées, une messagerie instantanée appelée SOEX dotée d'une fonction d'échange de cryptomonnaies, a été téléchargée plus de 10 000 fois depuis la boutique officielle.
Les experts ont également trouvé des fichiers APK d'applications infectées (qui peuvent être installés directement sur les smartphones Android en contournant les boutiques officielles) sur des sites web tiers susceptibles d'être liés à la campagne étudiée. Ils sont présentés comme des projets d'investissement crypto. Les sites web sur lesquels ces applications ont été publiées ont fait l'objet de publicités sur les réseaux sociaux, notamment YouTube.
«Les applications, une fois installées, remplissent les fonctions promises dans leur description. Mais une fois l’appli lancée, les photos de la galerie du smartphone sont envoyées aux attaquants. Ceux-ci peuvent ensuite essayer de trouver diverses données confidentielles dans les images dérobées, comme des phrases de récupération de portefeuille crypto pour accéder aux actifs des victimes. Il existe des signes indirects indiquant que les attaquants s'intéressent aux actifs numériques des personnes : bon nombre des applications infectées sont directement liées aux cryptomonnaies, et l'application TikTok infectée par un cheval de Troie dispose également d'une boutique intégrée n’acceptant que les paiements en cryptomonnaies », commente Dmitry Kalinin, expert en logiciels malveillants chez Kaspersky.
Un rapport détaillé sur cette attaque est disponible sur Securelist.
