Modules compl\u00e9mentaires malveillants dans des applications authentiques<\/h2>\n
Les applications contenant les modules malveillants de SparkCat se r\u00e9partissent en deux cat\u00e9gories. Certaines, comme les nombreuses applications de messagerie similaires revendiquant des fonctionnalit\u00e9s IA, toutes issues du m\u00eame d\u00e9veloppeur, ont clairement \u00e9t\u00e9 con\u00e7ues comme des app\u00e2ts. D\u2019autres sont des applications authentiques\u00a0: services de livraison de nourriture, lecteurs d\u2019actualit\u00e9 et utilitaires de portefeuilles de cryptomonnaies. Nous ne savons pas encore comment la fonctionnalit\u00e9 de cheval de Troie s\u2019est introduite dans ces applications. Il peut s\u2019agir d\u2019une attaque contre la cha\u00eene d\u2019approvisionnement<\/a>, o\u00f9 un module tiers utilis\u00e9 dans l\u2019application a \u00e9t\u00e9 infect\u00e9. Il se peut aussi que les d\u00e9veloppeurs aient d\u00e9lib\u00e9r\u00e9ment int\u00e9gr\u00e9 le cheval de Troie dans leurs applications.<\/p>\n La premi\u00e8re application dans laquelle nous avons d\u00e9tect\u00e9 le virus SparkCat est un service de livraison de nourriture appel\u00e9 ComeCome, disponible aux \u00c9mirats arabes unis et en Indon\u00e9sie. L\u2019application infect\u00e9e a \u00e9t\u00e9 trouv\u00e9e \u00e0 la fois sur Google Play et sur l\u2019App Store<\/p><\/div>\n L\u2019application malveillante analyse les photos de la galerie du smartphone et, pour ce faire, toutes les applications infect\u00e9es demandent l\u2019autorisation d\u2019y acc\u00e9der. Dans de nombreux cas, cette demande semble tout \u00e0 fait authentique. Par exemple, l\u2019application de livraison de nourriture ComeCome a demand\u00e9 l\u2019acc\u00e8s \u00e0 un chat d\u2019assistance \u00e0 la client\u00e8le d\u00e8s l\u2019ouverture de ce chat, ce qui paraissait tout \u00e0 fait normal. D\u2019autres applications demandent l\u2019acc\u00e8s \u00e0 la galerie lors du lancement de leur fonctionnalit\u00e9 principale, ce qui semble encore inoffensif. Apr\u00e8s tout, vous voulez pouvoir partager des photos dans une messagerie, n\u2019est-ce pas\u00a0?<\/p>\n Cependant, d\u00e8s que l\u2019utilisateur autorise l\u2019acc\u00e8s \u00e0 des photos bien pr\u00e9cises ou \u00e0 l\u2019ensemble de la galerie, le programme malveillant commence \u00e0 parcourir toutes les photos qu\u2019il peut trouver, \u00e0 la recherche de tout document de valeur.<\/p>\n Pour trouver les donn\u00e9es de portefeuilles de cryptomonnaies parmi les photos de chats et de couchers de soleil, le cheval de Troie int\u00e8gre un module de reconnaissance optique de caract\u00e8res (OCR) bas\u00e9 sur la trousse Google ML Kit, une biblioth\u00e8que universelle d\u2019apprentissage automatique.<\/p>\n En fonction des param\u00e8tres linguistiques de l\u2019appareil, SparkCat t\u00e9l\u00e9charge des mod\u00e8les entra\u00een\u00e9s \u00e0 d\u00e9tecter l\u2019\u00e9criture appropri\u00e9e dans les photos, qu\u2019il s\u2019agisse de caract\u00e8res latins, cor\u00e9ens, chinois ou japonais. Apr\u00e8s avoir reconnu le texte d\u2019une image, le cheval de Troie le contr\u00f4le par rapport \u00e0 un ensemble de r\u00e8gles charg\u00e9es \u00e0 partir de son serveur de commande et de contr\u00f4le. Outre les mots-cl\u00e9s de la liste (par exemple, \u00ab\u00a0mn\u00e9monique\u00a0\u00bb), le filtre peut \u00eatre d\u00e9clench\u00e9 par des motifs particuliers, comme des combinaisons de lettres d\u00e9pourvues de sens dans les codes de secours ou certaines s\u00e9quences de mots dans les phrases secr\u00e8tes.<\/p>\n Au cours de notre analyse, nous avons demand\u00e9 aux serveurs C2 du cheval de Troie une liste de mots-cl\u00e9s utilis\u00e9s dans le cadre de la recherche OCR. Les cybercriminels s\u2019int\u00e9ressent clairement aux phrases utilis\u00e9es pour r\u00e9cup\u00e9rer l\u2019acc\u00e8s aux portefeuilles de cryptomonnaies, appel\u00e9es phrases mn\u00e9moniques<\/p><\/div>\n Le cheval de Troie charge toutes les photos contenant un texte potentiellement utile sur les serveurs des auteurs de l\u2019attaque, ainsi que des informations d\u00e9taill\u00e9es sur le texte reconnu et l\u2019appareil sur lequel l\u2019image a \u00e9t\u00e9 vol\u00e9e.<\/p>\n Nous avons identifi\u00e9 10\u00a0applications malveillantes sur Google Play, et 11 sur l\u2019App Store. Au moment de la publication, toutes les applications malveillantes avaient \u00e9t\u00e9 retir\u00e9es des boutiques. Le nombre total de t\u00e9l\u00e9chargements \u00e0 partir de la boutique Google Play \u00e0 elle seule d\u00e9passait les 242\u00a0000 au moment de l\u2019analyse, et nos donn\u00e9es de t\u00e9l\u00e9m\u00e9trie sugg\u00e8rent que le m\u00eame programme malveillant \u00e9tait \u00e9galement disponible sur d\u2019autres sites et dans des boutiques d\u2019applications non officielles.<\/p>\n Parmi les applications infect\u00e9es figurent des services de livraison populaires et des messageries assist\u00e9es par l\u2019IA, \u00e0 la fois sur Google Play et sur l\u2019App Store<\/p><\/div>\n \u00c0 en juger par les dictionnaires de SparkCat, le programme est \u00ab\u00a0entra\u00een\u00e9\u00a0\u00bb \u00e0 voler les donn\u00e9es des utilisateurs de nombreux pays europ\u00e9ens et asiatiques, et les preuves indiquent que les attaques ont commenc\u00e9 depuis au moins le mois de mars 2024. Les auteurs de ce programme malveillant parlent probablement couramment le chinois. Vous trouverez de plus amples informations \u00e0 ce sujet, ainsi que sur les aspects techniques de SparkCat, dans le rapport complet publi\u00e9 sur Securelist<\/a>.<\/p>\n Malheureusement, le bon vieux conseil de \u00ab\u00a0ne t\u00e9l\u00e9charger que des applications bien not\u00e9es dans les boutiques d\u2019applications officielles\u00a0\u00bb n\u2019est plus d\u2019actualit\u00e9. M\u00eame l\u2019App Store a \u00e9t\u00e9 infiltr\u00e9 par un v\u00e9ritable voleur d\u2019informations, et des incidents similaires se sont produits \u00e0 plusieurs reprises<\/a> dans Google Play. Il est donc n\u00e9cessaire de renforcer les crit\u00e8res de s\u00e9lection : t\u00e9l\u00e9chargez uniquement des applications tr\u00e8s bien not\u00e9es, avec des milliers, ou mieux encore, des millions de t\u00e9l\u00e9chargements, publi\u00e9es il y a au moins plusieurs mois. V\u00e9rifiez \u00e9galement les liens des applications dans les sources officielles (comme le site Internet des d\u00e9veloppeurs) pour vous assurer qu\u2019ils ne sont pas faux, et lisez les avis, notamment les avis n\u00e9gatifs. Et, bien entendu, assurez-vous d\u2019installer un syst\u00e8me de s\u00e9curit\u00e9 complet<\/a>\u00a0sur tous vos smartphones et ordinateurs.<\/p>\n La consultation des avis n\u00e9gatifs \u00e0 propos de l\u2019application ComeCome sur l\u2019App Store aurait pu dissuader les utilisateurs de la t\u00e9l\u00e9charger<\/p><\/div>\n Vous devez \u00e9galement \u00eatre extr\u00eamement prudent<\/a> lorsque vous accordez des autorisations \u00e0 de nouvelles applications. Auparavant, ce point concernait principalement les param\u00e8tres d'\u00a0\u00bbaccessibilit\u00e9\u00a0\u00bb, mais nous constatons aujourd\u2019hui que m\u00eame l\u2019octroi d\u2019un acc\u00e8s \u00e0 la galerie peut entra\u00eener le vol de donn\u00e9es personnelles. Si vous doutez de la l\u00e9gitimit\u00e9 d\u2019une application (par exemple, il ne s\u2019agit pas d\u2019une messagerie officielle, mais d\u2019une version modifi\u00e9e), ne lui accordez pas un acc\u00e8s complet \u00e0 toutes vos photos et vid\u00e9os. N\u2019accorder l\u2019acc\u00e8s qu\u2019\u00e0 des photos particuli\u00e8res si n\u00e9cessaire.<\/p>\n Il est tr\u00e8s dangereux de stocker des documents, des mots de passe, des donn\u00e9es bancaires ou des photos de phrases secr\u00e8tes dans la galerie de votre smartphone. En plus des voleurs comme SparkCat, il y a toujours le risque que quelqu\u2019un consulte vos photos ou que vous les envoyiez accidentellement par messagerie ou par un service de partage de fichiers. Ces informations doivent \u00eatre stock\u00e9es dans une application d\u00e9di\u00e9e. Par exemple, Kaspersky Password Manager<\/a>\u00a0vous permet de stocker et de synchroniser en toute s\u00e9curit\u00e9 non seulement les mots de passe et les jetons d\u2019authentification \u00e0 deux facteurs, mais aussi les donn\u00e9es des cartes bancaires et les documents scann\u00e9s sur l\u2019ensemble de vos appareils, le tout sous forme chiffr\u00e9e. D\u2019ailleurs, cette application est propos\u00e9e dans le cadre de nos abonnements Kaspersky Plus<\/a> et Kaspersky Premium<\/a>.<\/p>\n![\"SparkCat](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2025\/02\/13165622\/ios-android-ocr-stealer-sparkcat-01.png\")
<\/a>Vol assist\u00e9 par l\u2019IA<\/h2>\n
![\"Mots-cl\u00e9s](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2025\/02\/13165606\/ios-android-ocr-stealer-sparkcat-02.png\")
<\/a>Ampleur et victimes de l\u2019attaque<\/h2>\n
![\"Des](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2025\/02\/13165553\/ios-android-ocr-stealer-sparkcat-03.png\")
<\/a>Comment se prot\u00e9ger des chevaux de Troie OCR\u00a0?<\/h2>\n
![\"Avis](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2025\/02\/13165534\/ios-android-ocr-stealer-sparkcat-04.png\")
<\/a>