Un trojan sophistiqué contourne la sécurité d'Apple et de Google pour recueillir les phrases-seed de crypto-monnaies à partir de photos d'appareils mobiles, marquant une escalade significative dans les attaques visant les crypto-monnaies.
Des chercheurs en cybersécurité chez Kaspersky ont découvert une nouvelle campagne de malware mobile sophistiquée baptisée "SparkKitty" qui a réussi à infiltrer à la fois l'App Store d'Apple et le Play Store de Google, compromettant plus de 5 000 utilisateurs de crypto-monnaies en Chine et en Asie du Sud-Est.
Le malware se concentre sur le vol de captures d'écran des phrases-seed de portefeuilles stockées dans les galeries de téléphones mobiles, représentant une évolution significative dans les attaques visant les crypto-monnaies qui exploitent des vulnérabilités fondamentales de la sécurité mobile.
Le malware est actif depuis au moins début 2024, selon le dernier rapport de sécurité de Kaspersky publié cette semaine. Contrairement aux méthodes traditionnelles de distribution de malware, SparkKitty a connu un succès remarquable en s'intégrant au sein d'applications semblant légitimes sur les deux principales plateformes mobiles, y compris les outils de suivi de prix de crypto-monnaies, les applications de jeux d'argent, et les versions modifiées d'applications populaires de médias sociaux comme TikTok.
L'aspect le plus préoccupant de cette campagne est sa capacité à contourner avec succès à la fois le processus rigoureux de révision de l'App Store d'Apple et les systèmes de sécurité Play Protect de Google. Une application de messagerie compromise, SOEX, a atteint plus de 10 000 téléchargements avant d'être détectée et supprimée, démontrant la capacité du malware à opérer sans être détecté dans les écosystèmes d'applications officiels pendant de longues périodes.
Méthodologie de collecte de données avancée
SparkKitty représente une avancée technique significative par rapport à son prédécesseur, SparkCat, qui a été identifié pour la première fois en janvier 2025. Contrairement au malware traditionnel qui cible sélectivement les données sensibles, SparkKitty vole de manière indiscriminée toutes les images des appareils infectés, créant des bases de données complètes de photos d'utilisateurs qui sont ensuite téléchargées sur des serveurs distants pour analyse.
Le malware opère à travers un processus sophistiqué en plusieurs étapes. À l'installation via des profils d'approvisionnement trompeurs, SparkKitty demande des permissions standards d'accès à la galerie de photos - une demande qui semble routinière pour la plupart des utilisateurs. Une fois l'accès accordé, le trojan surveille en continu la photothèque de l'appareil pour détecter les changements, créant des bases de données locales des images capturées avant de les transmettre à des serveurs contrôlés par les attaquants.
Les chercheurs de Kaspersky soulignent que l'objectif principal des attaquants semble être l'identification et l'extraction de phrases-seed de portefeuilles de crypto-monnaies à partir de captures d'écran stockées sur des appareils infectés. Ces phrases de récupération de 12 à 24 mots permettent un accès complet aux avoirs en actifs numériques des utilisateurs, ce qui en fait des cibles extrêmement précieuses pour les cybercriminels.
L'émergence de SparkKitty survient dans un contexte d'escalade du crime informatique axé sur les crypto-monnaies. Selon l'analyse de TRM Labs de 2024, près de 70 % des 2,2 milliards de dollars de crypto-monnaies volées résultent d'attaques d'infrastructure, notamment celles impliquant le vol de clés privées et de phrases-seed. En janvier 2025 seulement, 9 220 victimes ont perdu 10,25 millions de dollars à cause d'arnaques de phishing liées aux crypto-monnaies, soulignant la nature persistante et évolutive des menaces visant les crypto-monnaies.
Le focus géographique actuel du malware sur la Chine et l'Asie du Sud-Est reflète des tendances plus larges en matière d'adoption des crypto-monnaies et de ciblage criminel. Cependant, les experts en sécurité avertissent que les capacités techniques et l'efficacité avérée de SparkKitty rendent l'expansion mondiale hautement probable. La capacité du malware à infiltrer les boutiques d'applications officielles suggère qu'aucun écosystème mobile n'est à l'abri des attaques sophistiquées visant les crypto-monnaies.
Évolution technique et attribution
L'analyse forensic révèle des connexions significatives entre SparkKitty et la campagne de malware précédente SparkCat. Les deux trojans partagent des symboles de débogage, des modèles de construction de code et plusieurs applications vectorielles compromises, suggérant un développement coordonné par les mêmes acteurs malveillants. Cependant, SparkKitty démontre des améliorations techniques notables, y compris des capacités de collecte de données améliorées et des techniques d'évasion améliorées.
SparkCat ciblait spécifiquement les phrases de récupération de portefeuille de crypto-monnaies en utilisant une technologie de reconnaissance optique de caractères pour extraire ces phrases à partir d'images, tandis que SparkKitty adopte une approche plus large en récoltant toutes les données d'image disponibles pour un traitement ultérieur. Cette évolution suggère que les attaquants optimisent leurs opérations pour une efficacité maximale de collecte de données tout en réduisant le traitement sur l'appareil qui pourrait déclencher des alertes de sécurité.
La campagne SparkKitty expose des vulnérabilités fondamentales dans les pratiques de sécurité mobile des crypto-monnaies. De nombreux utilisateurs prennent régulièrement des captures d'écran de leurs phrases-seed pour des raisons de commodité, créant des copies numériques qui deviennent des cibles de premier choix pour des malware comme SparkKitty. Cette pratique, bien que compréhensible d'un point de vue expérience utilisateur, crée des vulnérabilités critiques de sécurité que des attaquants sophistiqués exploitent de plus en plus.
Les chercheurs en sécurité soulignent que la menace s'étend au-delà des utilisateurs individuels à l'ensemble de l'écosystème des crypto-monnaies. Chaque jour, 560 000 nouvelles pièces de malware sont détectées, et les plateformes mobiles deviennent des cibles de plus en plus attrayantes à mesure que l'adoption des crypto-monnaies accélère à l'échelle mondiale.
Le succès du malware à contourner les mesures de sécurité des boutiques d'applications soulève également des questions sur l'efficacité des cadres actuels de sécurité mobile. Tant Apple que Google ont mis en place des processus de révision sophistiqués conçus pour empêcher les applications malveillantes d'atteindre les utilisateurs, mais l'infiltration réussie de SparkKitty démontre que des attaquants déterminés peuvent encore contourner ces protections.
Réponse de l'industrie et mesures défensives
Suite à la divulgation par Kaspersky, tant Apple que Google ont initié des procédures de suppression pour les applications infectées par SparkKitty identifiées. Cependant, la nature dynamique de la menace signifie que de nouvelles variantes peuvent continuer à apparaître, nécessitant une vigilance continue de la part à la fois des chercheurs en sécurité et des opérateurs des boutiques d'applications.
Les experts en sécurité des crypto-monnaies recommandent des mesures défensives immédiates pour les utilisateurs de portefeuilles mobiles. Les principales recommandations incluent d'éviter le stockage numérique des phrases-seed, d'utiliser des portefeuilles matériels pour des avoirs importants et de mettre en œuvre des audits rigoureux des permissions des applications. Les utilisateurs sont invités à revoir les galeries de photos existantes pour tout identifiant de portefeuille stocké et à supprimer immédiatement ces images.
L'incident a également suscité une discussion renouvelée sur les normes de sécurité des crypto-monnaies mobiles. Les leaders de l'industrie appellent à des exigences de sécurité renforcées pour les applications mobiles liées aux crypto-monnaies, y compris des audits de sécurité obligatoires et des modèles de permission plus stricts pour les applications manipulant des données financières sensibles.
Bien que SparkKitty soit actuellement concentré sur les marchés asiatiques, les experts en cybersécurité avertissent qu'une expansion mondiale apparaît inévitable. L'efficacité avérée du malware et la nature universelle de l'utilisation des crypto-monnaies mobiles suggèrent que les marchés occidentaux pourraient bientôt faire face à des menaces similaires. D'ici 2025, le cybercrime - y compris les attaques axées sur les malware - pourrait coûter à l'économie mondiale 10,5 trillions de dollars par an, les malware ciblant les crypto-monnaies représentant une part croissante de cette menace.
La nature sophistiquée des capacités d'infiltration des boutiques d'applications de SparkKitty suggère que des campagnes similaires sont peut-être déjà en cours dans d'autres régions. Les chercheurs en sécurité appellent à une coopération internationale renforcée pour lutter contre les malware des crypto-monnaies mobiles, y compris une amélioration du partage d'informations entre les opérateurs de boutiques d'applications et les organisations de cybersécurité.
Évaluation future des menaces
La campagne SparkKitty représente une escalade significative des menaces mobiles sur les crypto-monnaies, combinant des capacités techniques sophistiquées avec des mécanismes de distribution éprouvés. À mesure que l'adoption des crypto-monnaies continue de progresser mondialement, des menaces similaires devraient augmenter à la fois en fréquence et en sophistication.
Les experts en sécurité prédisent que les futures itérations des malware ciblant les crypto-monnaies intègreront probablement des techniques d'évasion supplémentaires, y compris des méthodes améliorées de contournement des boutiques d'applications et des capacités d'exfiltration de données plus sophistiquées. Le succès de l'approche de collecte de photos de SparkKitty pourrait inspirer d'autres familles de malware à adopter des méthodologies similaires, créant un environnement de menaces en escalade pour les utilisateurs de crypto-monnaies mobiles.
L'incident souligne l'importance critique de pratiques de sécurité mobile robustes pour les détenteurs de crypto-monnaies. À mesure que les valeurs des actifs numériques continuent de grimper et que l'adoption s'étend, les appareils mobiles représentent des cibles de plus en plus attrayantes pour des organisations criminelles sophistiquées.
Les utilisateurs doivent adapter leurs pratiques de sécurité en conséquence, en privilégiant l'utilisation de portefeuilles matériels et en éliminant le stockage numérique des phrases-seed pour protéger leurs avoirs en crypto-monnaies contre les menaces de malware mobile en évolution.