.jpg)
Des chercheurs ont récemment découvert SparkCat, un malware qui cible les utilisateurs de smartphones en exploitant leurs captures d’écran pour en extraire des données sensibles. Ce programme malveillant a récemment été détecté au sein d’applications présentes sur l’App Store et Google Play, mettant en lumière les limites des contrôles de sécurité de ces plateformes.
Un malware sophistiqué qui exploite les captures d’écran
SparkCat infiltre les appareils mobiles en se dissimulant dans des applications téléchargées depuis l’App Store ou Google Play. Une fois installée, l’application malveillante demande l’accès aux photos sous un prétexte légitime, comme la personnalisation d’images ou le partage de fichiers multimédias. Dès qu’elle obtient cette permission, elle explore discrètement le dossier où sont stockées les captures d’écran des utilisateurs.
L’analyse des images commence alors. SparkCat utilise la reconnaissance optique de caractères (OCR) pour identifier des éléments sensibles, en priorité les phrases de récupération des portefeuilles de cryptomonnaies, mais aussi des identifiants de connexion ou des codes d’authentification. Les données extraites sont ensuite envoyées à un serveur distant contrôlé par les cybercriminels, leur permettant d’accéder aux comptes financiers des victimes et de les vider.
Le malware ne s’arrête pas là. En exploitant les permissions accordées, il intercepte les SMS et les notifications, récupérant ainsi des codes de double authentification. Il contourne ainsi les mesures de sécurité mises en place par les victimes et facilite l’accès à leurs comptes protégés. Pour assurer sa persistance, SparkCat utilise des techniques avancées de dissimulation qui lui permettent de rester indétectable et de compliquer sa suppression.
Des applications piégées sur des stores officiels
Le malware SparkCat est particulièrement insidieux, car il transforme des applications légitimes en vecteurs d’infection. Il s’est propagé via les stores officiels en s’intégrant à des applications légitimes fournissant des services populaires, tels que des assistants IA, des applications de livraison de repas et des portefeuilles de cryptomonnaies.
L’injection du malware se fait via ces SDK et frameworks, souvent intégrés par les développeurs sans connaissance de leur nature malveillante, compromettant ainsi la sécurité de leurs applications et des utilisateurs finaux.
Sur Android, le SDK malveillant embarque un composant Java nommé Spark, dissimulé sous la forme d’un module d’analyse de données. Sur iOS, il se décline sous différentes appellations, notamment Gzip, googleappsdk ou stat. Parmi les applications malveillantes figurent WeTink, AnyGPT et ComeCome.
Comment se protéger face à ce malware ?
Face à SparkCat, les bonnes pratiques de sécurité sont les suivantes :
- Restreindre les autorisations : Limitez l’accès aux ressources sensibles, comme la galerie photo, uniquement aux applications strictement nécessaires.
- Contrôler les permissions des applications : Effectuez un audit régulier des accès accordés aux applications et révoquez ceux qui semblent injustifiés ou non conformes aux politiques de sécurité de l’entreprise.
- Déployer une solution de sécurité mobile avancée : Pradeo Mobile Threat Defense (MTD) analyse avec une précision inégalée l’ensemble des comportements des applications. Elle détecte non seulement lorsqu’une application tente d’accéder aux fichiers stockés sur l’appareil, mais aussi lorsqu’elle exfiltre des données vers un serveur distant. Grâce à cette capacité de détection ultra fine, les applications contenant SparkCat sont automatiquement bloquées par Pradeo, empêchant ainsi toute fuite de données sensibles avant même qu’elle ne puisse se produire.
.jpg?height=100&name=1711636314862%20(1).jpg)
