{"id":22911,"date":"2025-06-27T16:27:55","date_gmt":"2025-06-27T14:27:55","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=22911"},"modified":"2025-06-27T16:27:55","modified_gmt":"2025-06-27T14:27:55","slug":"ios-android-stealer-sparkkitty","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/ios-android-stealer-sparkkitty\/22911\/","title":{"rendered":"Vos photos de chats sont en danger : la menace du nouveau cheval de Troie SparkKitty"},"content":{"rendered":"

Vos clich\u00e9s sont litt\u00e9ralement les cl\u00e9s de votre vie priv\u00e9e. Votre galerie de photos contient vos projets d\u2019avenir, vos secrets financiers, des photos de chats et parfois m\u00eame des choses que vous ne partageriez jamais avec personne. Mais pensez-vous r\u00e9ellement \u00e0 prot\u00e9ger ces images? Nous esp\u00e9rons que depuis que vous avez entendu parler du voleur multiplateforme SparkCat<\/a>, vous y songez plus souvent que d\u2019habitude.<\/p>\n

\u00c0 pr\u00e9sent, nous avons d\u00e9couvert le petit fr\u00e8re de ce cheval de Troie, que nous avons affectueusement baptis\u00e9 SparkKitty. Mais ne vous laissez pas berner par ce joli nom\u00a0: derri\u00e8re lui se cache un espion qui, comme son grand fr\u00e8re, a pour but de voler les photos des smartphones de ses victimes. Qu\u2019est-ce qui rend cette menace unique et pourquoi les utilisateurs d\u2019Android et d\u2019iPhone devraient-ils y pr\u00eater attention\u00a0?<\/p>\n

Comment SparkKitty se fraye un chemin jusqu\u2019aux appareils<\/h2>\n

Le voleur se propage de deux mani\u00e8res\u00a0: (i)\u00a0dans la nature \u2013 c\u2019est-\u00e0-dire \u00e0 travers les zones indompt\u00e9es d\u2019Internet\u00a0; et (ii)\u00a0par le biais des applications officielles comme l\u2019App Store et Google Play. Voyons cela de plus pr\u00e8s.<\/p>\n

Boutiques d\u2019applications officielles<\/h3>\n

Dans l\u2019App Store d\u2019Apple, le programme malveillant \u00e9tait tapi dans l\u2019application \u5e01<\/strong>coin<\/strong>, con\u00e7ue pour suivre les cours des cryptomonnaies et les signaux de trading. Nous ignorons exactement comment cette activit\u00e9 d\u2019espionnage suspecte s\u2019est retrouv\u00e9e dans l\u2019application. Il est possible que la cha\u00eene d\u2019approvisionnement ait \u00e9t\u00e9 compromise<\/a> et que les d\u00e9veloppeurs eux-m\u00eames n\u2019aient pas remarqu\u00e9 l\u2019existence de SparkKitty avant que nous ne les en informions. Mais il y a aussi une deuxi\u00e8me possibilit\u00e9\u00a0: les d\u00e9veloppeurs ont pu d\u00e9lib\u00e9r\u00e9ment int\u00e9gr\u00e9 le voleur dans l\u2019application. Quoi qu\u2019il en soit, c\u2019est la deuxi\u00e8me fois que nous constatons qu\u2019un cheval de Troie se faufile dans l\u2019App Store, et nous avons alert\u00e9 Apple \u00e0 ce sujet. SparkCat<\/a> a \u00e9t\u00e9 le premier exemple.<\/p>\n

\"Application<\/a>

Application infect\u00e9e dans l\u2019App Store<\/p><\/div>\n

La situation est diff\u00e9rente avec Google Play\u00a0: des applications malveillantes surgissent r\u00e9guli\u00e8rement, et nous nous penchons fr\u00e9quemment sur ces menaces<\/a> dans Kaspersky Daily. Cette fois, nous avons d\u00e9tect\u00e9 une activit\u00e9 malveillante dans une application de messagerie qui inclut des fonctionnalit\u00e9s d\u2019\u00e9change de cryptomonnaies. Il s\u2019agit d\u2019une application populaire qui a \u00e9t\u00e9 install\u00e9e plus de 10\u00a0000\u00a0fois, et qui a \u00e9t\u00e9 retir\u00e9e de Google Play au moment de l\u2019\u00e9tude.<\/p>\n

Liens suspects en libert\u00e9<\/h3>\n

Cela dit, les pirates informatiques ont \u00e9t\u00e9 beaucoup plus cr\u00e9atifs cette fois-ci pour diffuser le programme malveillant sur le Web. Lors d\u2019un examen de routine de liens suspects (nous cliquons dessus pour que vous n\u2019ayez pas \u00e0 le faire !), nos experts ont d\u00e9couvert plusieurs pages similaires distribuant un mod TikTok pour Android. L\u2019une des principales actions de ce mod \u00e9tait de faire appel \u00e0 du code suppl\u00e9mentaire. Nous nous sommes dit : \u00ab\u00a0C\u2019est \u00e9trange\u00a0\u00bb. Et nous avions raison. Le code contenait des liens affich\u00e9s sous forme de boutons dans l\u2019application, qui dirigeaient tous les utilisateurs vers une boutique en ligne appel\u00e9e TikToki Mall, qui vendait une vari\u00e9t\u00e9 d\u2019articles. Malheureusement, nous n\u2019avons pas pu d\u00e9terminer si la boutique \u00e9tait l\u00e9gitime ou s\u2019il s\u2019agissait simplement d\u2019un grand pi\u00e8ge, mais un fait int\u00e9ressant a retenu notre attention : TikToki Mall accepte les paiements en cryptomonnaies, et vous avez besoin d\u2019un code d\u2019invitation pour vous inscrire et acheter un article. Nous n\u2019avons pas trouv\u00e9 d\u2019autres activit\u00e9s suspectes \u00e0 ce stade, ni de traces de SparkKitty ou d\u2019autres programmes malveillants.<\/p>\n

Nous avons donc d\u00e9cid\u00e9 d\u2019adopter une approche diff\u00e9rente et de voir ce qui se passait lorsque nous cliquions sur ces m\u00eames liens suspects \u00e0 partir d\u2019un iPhone. Nous avons alors \u00e9t\u00e9 redirig\u00e9s vers une page ressemblant vaguement \u00e0 l\u2019App Store, qui nous a imm\u00e9diatement incit\u00e9s \u00e0 t\u00e9l\u00e9charger l\u2019 \u00ab\u00a0application TikTok\u00a0\u00bb.<\/p>\n

iOS ne permet pas aux utilisateurs de t\u00e9l\u00e9charger ni d\u2019ex\u00e9cuter des applications provenant de sources tierces. Cependant, Apple fournit des profils d\u2019approvisionnement \u00e0 tous les membres de l\u2019Apple Developer Program. Ces profils autorisent l\u2019installation sur les appareils des utilisateurs d\u2019applications personnalis\u00e9es qui ne sont pas disponibles dans l\u2019App Store, comme des versions b\u00eata ou des applications d\u00e9velopp\u00e9es pour un usage interne au sein d\u2019une entreprise. Les pirates informatiques se servent de ces profils pour distribuer des applications contenant des programmes malveillants.<\/em><\/p><\/blockquote>\n

Le processus d\u2019installation \u00e9tait l\u00e9g\u00e8rement diff\u00e9rent de la proc\u00e9dure habituelle. En r\u00e8gle g\u00e9n\u00e9rale, dans l\u2019App Store, il suffit de cliquer une seule fois sur Installer<\/strong>, mais dans ce cas, l\u2019installation du faux TikTok a n\u00e9cessit\u00e9 des \u00e9tapes suppl\u00e9mentaires\u00a0: le t\u00e9l\u00e9chargement et l\u2019installation d\u2019un profil d\u2019approvisionnement pour d\u00e9veloppeur.<\/p>\n

\"Installation<\/a>

Installation d\u2019une application de source inconnue sur un iPhoneInstallation d\u2019une application de source inconnue sur un iPhone<\/p><\/div>\n

Bien entendu, cette version de TikTok ne contenait pas de vid\u00e9os amusantes. Il s\u2019agissait simplement d\u2019une autre boutique, semblable \u00e0 la version Android. En apparence inoffensive, la version iOS demandait l\u2019acc\u00e8s \u00e0 la galerie de l\u2019utilisateur \u00e0 chaque d\u00e9marrage \u2013 et c\u2019est l\u00e0 que le b\u00e2t blesse. Nous avons ainsi d\u00e9couvert un module malveillant qui envoyait aux pirates des images de la galerie du t\u00e9l\u00e9phone infect\u00e9, ainsi que des informations relatives \u00e0 l\u2019appareil. Nous avons \u00e9galement trouv\u00e9 ses traces dans d\u2019autres applications Android. Pour en savoir plus sur les d\u00e9tails techniques de cette affaire, consultez notre rapport complet sur Securelist<\/a>.<\/p>\n

Qui sont les cibles\u00a0?<\/h2>\n

Nos donn\u00e9es indiquent que cette campagne cible principalement les utilisateurs d\u2019Asie du Sud-Est et de Chine. Cela ne signifie pas pour autant que d\u2019autres pays sont hors de port\u00e9e des griffes de SparkKitty. Le programme malveillant se propage depuis au moins le d\u00e9but de l\u2019ann\u00e9e\u00a02024 et, au cours de l\u2019ann\u00e9e et demie \u00e9coul\u00e9e, les pirates ont vraisemblablement envisag\u00e9 d\u2019\u00e9tendre leurs op\u00e9rations \u00e0 d\u2019autres pays et \u00e0 d\u2019autres continents. Rien ne peut les arr\u00eater. Mieux encore, le mod TikTok n\u2019est pas le seul \u00e0 poser probl\u00e8me\u00a0: nous avons \u00e9galement d\u00e9couvert des activit\u00e9s malveillantes dans divers jeux d\u2019argent et jeux pour adultes, et m\u00eame dans des applications li\u00e9es aux cryptomonnaies.<\/p>\n

Si vous pensez que ces pirates informatiques souhaitent simplement admirer vos photos de vacances, d\u00e9trompez-vous. SparkKitty charge chacun de vos instantan\u00e9s sur son serveur de commande et de contr\u00f4le. Ces images pourraient facilement inclure des captures d\u2019\u00e9cran d\u2019informations confidentielles comme les phrases secr\u00e8tes de portefeuilles de cryptomonnaies, permettant \u00e0 ces mauvais acteurs de d\u00e9rober votre argent.<\/p>\n

Comment se prot\u00e9ger de SparkKitty<\/h2>\n

Ce cheval de Troie peut se propager de plusieurs fa\u00e7ons, et il est difficile de se pr\u00e9munir contre toutes. Bien que la r\u00e8gle d\u2019or consistant \u00e0 \u00a0\u00bb\u00a0t\u00e9l\u00e9charger uniquement des applications \u00e0 partir de sources officielles\u00a0\u00a0\u00bb s\u2019applique toujours, nous avons trouv\u00e9 des traces de ce voleur \u00e0 la fois dans Google Play et dans l\u2019App Store \u2013 des plateformes o\u00f9 les applications sont cens\u00e9es \u00eatre v\u00e9rifi\u00e9es et s\u00fbres \u00e0 100\u00a0%. Que pouvez-vous donc faire\u00a0?<\/p>\n

Pensez \u00e0 bien prot\u00e9ger la galerie de votre smartphone. Bien \u00e9videmment, la m\u00e9thode la plus infaillible consisterait \u00e0 ne jamais prendre de photos ni de captures d\u2019\u00e9cran d\u2019informations confidentielles, mais c\u2019est pratiquement impossible de nos jours. Il existe une solution : conserver les photos de valeur dans un coffre-fort s\u00e9curis\u00e9<\/a>. Gr\u00e2ce \u00e0 Kaspersky Password Manager<\/a>, il est possible de visualiser et d\u2019envoyer des photos prot\u00e9g\u00e9es et importantes uniquement apr\u00e8s avoir saisi un mot de passe unique, que vous \u00eates le seul \u00e0 conna\u00eetre<\/a>. Notez que le contenu prot\u00e9g\u00e9 n\u2019est pas limit\u00e9 \u00e0 un seul appareil. Le gestionnaire de mots de passe peut synchroniser les informations entre les smartphones et les ordinateurs. Il s\u2019agit notamment des donn\u00e9es des cartes bancaires, des jetons d\u2019authentification \u00e0 deux facteurs et de tout ce que vous choisissez de stocker dans Kaspersky Password Manager<\/a>, y compris vos photos.<\/p>\n

Il est \u00e9galement primordial de v\u00e9rifier d\u00e8s maintenant si aucune des applications infect\u00e9es que nous avons d\u00e9couvertes ne se trouve sur votre smartphone. La liste compl\u00e8te est disponible sur Securelist<\/a>. Pour Android, Kaspersky pour Android<\/a>\u00a0peut vous aider \u2013 il recherchera et supprimera les programmes malveillants pour vous. Sur iPhone, en raison de l\u2019architecture ferm\u00e9e d\u2019iOS, notre solution de s\u00e9curit\u00e9<\/a>\u00a0ne peut pas analyser et supprimer les applications infect\u00e9es pr\u00e9c\u00e9demment install\u00e9es, mais elle emp\u00eachera toute tentative d\u2019envoi de donn\u00e9es aux serveurs des cybercriminels et vous en avertira.<\/p>\n

Et si vous optez pour un abonnement Kaspersky Premium<\/a> ou Kaspersky Plus<\/a>, vous obtenez Kaspersky Password Manager<\/a>\u00a0avec votre solution de s\u00e9curit\u00e9.<\/p>\n

Suivez notre cha\u00eene Telegram<\/a>\u00a0pour rester au courant des derni\u00e8res cybermenaces et vous assurer que vous stockez vos photos en toute s\u00e9curit\u00e9.<\/p>\n

Informez-vous sur les autres programmes malveillants \u00e0 surveiller pour prot\u00e9ger votre smartphone\u00a0:<\/p>\n