Le centre d’expertise Kaspersky Threat Research (recherche sur les menaces) a identifié une nouvelle variante du cheval de Troie SparkCat sur l'AppStore et sur Google Play, un an après la découverte initiale de ce logiciel malveillant spécialisé dans le vol de cryptomonnaies et son retrait des deux plateformes. Ce cheval de Troie se cache dans des applications d'apparence légitime et analyse les galeries de photos des utilisateurs à la recherche de phrases de récupération de portefeuilles de crypto-monnaies.
La nouvelle version de SparkCat est distribuée via des applications infectées : des messageries instantanées conçues pour la communication d'entreprise et une application de livraison de repas. Les experts de Kaspersky ont trouvé deux applications compromises sur l'App Store et une sur Google Play, dont le code malveillant a depuis été supprimé. Les données télémétriques de Kaspersky montrent que les applications infectées par SparkCat sont également distribuées via des sources tierces. Certaines de ces pages web imitent l'App Store lorsqu'elles sont ouvertes depuis un iPhone.
La variante mise à jour du cheval de Troie pour Android analyse les galeries d'images des appareils compromis à la recherche de captures d'écran contenant des mots-clés spécifiques en japonais, coréen et chinois, ce qui a conduit les experts de Kaspersky à estimer que cette campagne cible principalement les actifs en cryptomonnaie des utilisateurs en Asie. La variante iOS, en revanche, adopte une approche différente puisqu'elle recherche des phrases mnémoniques de portefeuilles de cryptomonnaie, qui sont en anglais. Ainsi, la variante iOS a une portée plus large, car elle peut affecter les utilisateurs quelle que soit leur région.
La nouvelle version de SparkCat pour Android comporte plusieurs couches d'obfuscation par rapport aux versions précédentes, notamment la virtualisation du code et l'utilisation de langages de programmation multiplateformes, des techniques peu courantes dans les logiciels mobiles malveillants.
Kaspersky a
signalé les applications malveillantes identifiées à Google et Apple.
« La variante mise à jour de SparkCat demande l'accès aux photos de la galerie du smartphone de l'utilisateur dans certains cas, tout comme la toute première version du cheval de Troie. Elle analyse le texte des images stockées à l'aide d'un module de reconnaissance optique de caractères. Si le voleur de données trouve des mots-clés pertinents, il envoie l'image aux attaquants. Compte tenu des similitudes entre l'échantillon actuel et le précédent, nous pensons que les développeurs de la nouvelle version du logiciel malveillant sont les mêmes. Cette campagne souligne une nouvelle fois l'importance d'utiliser des solutions de sécurité pour smartphones afin de se protéger contre un large éventail de cybermenaces », a déclaré Sergey Puzan, expert en cybersécurité chez Kaspersky.
« Le logiciel malveillant SparkCat est une menace mobile en constante évolution. Les auteurs de cette menace augmentent sans cesse la complexité des techniques anti-analyse, ce qui lui permet de contourner le processus de vérification des boutiques d'applications officielles. De plus, les méthodes utilisées par les développeurs de SparkCat, telles que la virtualisation du code et l'utilisation de langages de programmation multi plateformes, sont rares pour les malwares mobiles. Cela démontre le haut niveau de compétence des auteurs de cette menace », a ajouté Dmitry Kalinin, expert en cybersécurité chez Kaspersky.
Cette menace est détectée par les produits Kaspersky sous les appellations suivantes : HEUR:Trojan.AndroidOS.SparkCat.* et HEUR:Trojan.IphoneOS.SparkCat.*:
Pour éviter de devenir victime de ce malware, Kaspersky recommande les mesures de sécurité suivantes :
- Utiliser un logiciel de cybersécurité pour appareils mobiles fiable et adapté à son système d’exploitation.
- Éviter de stocker des captures d'écran contenant des informations sensibles dans sa galerie, en particulier les phrases de récupération (seed phrases) de portefeuilles de cryptomonnaies. Ces informations sensibles, ainsi que les captures d'écran de documents importants, doivent être stockées dans des applications spécialisées de gestion des mots de passe.
- Être prudent, en téléchargeant des applications même depuis les boutiques officielles, car cela n'est pas toujours sans risque.
***
À propos de Kaspersky Threat Research
L’équipe Threat Research (TR) est une référence dans la protection contre les cybermenaces. Grâce à une expertise combinant analyse des menaces et développement technologique, les experts TR de Kaspersky garantissent des solutions de cybersécurité très complètes et efficaces, enrichies par de la threat intelligence et une sécurité robuste, au service des clients et de l’ensemble du secteur.
À propos de Kaspersky
Kaspersky est une société internationale de cybersécurité et de protection de la vie privée fondée en 1997. Avec à ce jour plus d'un milliard d'appareils protégés contre les cybermenaces émergentes et les attaques ciblées, l'expertise de Kaspersky en matière de sécurité et de renseignements sur les menaces est constamment convertie en solutions et services innovants pour protéger les particuliers, les entreprises, les infrastructures critiques et les autorités publiques dans le monde entier. Le large portefeuille de solutions de cybersécurité de Kaspersky inclut la protection avancée de la vie numérique pour les appareils personnels, des produits et services de sécurité spécialisés pour les entreprises, ainsi que des solutions de Cyber Immunité pour lutter contre les menaces numériques sophistiquées, en constante évolution. Kaspersky aide des millions de particuliers et plus de 200 000 entreprises à protéger ce qui compte le plus pour eux. Pour en savoir plus, consultez le site https://www.kaspersky.fr
