Un malware sophistiqué s’infiltre sur iOS et Android
Les experts de Kaspersky ont mis en lumière un cheval de Troie inédit, baptisé SparkKitty, qui se dissimule au sein d’applications légitimes sur l’App Store et Google Play, ainsi que sur des sites web frauduleux. Ce malware vise à dérober les images, les mots de passe et, surtout, les phrases de récupération ou clés privées des portefeuilles de cryptomonnaies.
Unsplash - Shawn Rain
Contrairement à la plupart des trojans mobiles, SparkKitty combine plusieurs techniques d’espionnage : reconnaissance optique de caractères (OCR) pour scanner vos captures d’écran, redirection vers des boutiques douteuses et vol de données d’identification. La menace est d’autant plus sérieuse qu’elle cible désormais non seulement l’Asie du Sud-Est et la Chine, mais peut toucher tout utilisateur de smartphone, y compris en France.
Comment SparkKitty se propage
Fausses applis crypto et jeux d’argent
Les attaquants diffusent SparkKitty via des applications prétendument dédiées aux cryptomonnaies, à l’échange de tokens ou aux jeux d’argent en ligne. Sur Google Play, certaines de ces applis – comme la messagerie SOEX qui inclut une fonction d’échange de crypto – ont été téléchargées plus de 10 000 fois avant d’être supprimées.
Usurpation de TikTok et pages de phishing
Sur l’App Store, SparkKitty se faisait passer pour une version infectée de TikTok. Comme l’explique Sergey Puzan de Kaspersky, les pirates ont exploité un mécanisme légitime d’installation d’applis professionnelles pour contourner le contrôle d’Apple. Ils ont également créé de fausses pages imitant l’App Store officiel, où l’on trouve des liens vers une boutique intégrée n’acceptant que les cryptomonnaies – un clin d’œil malveillant à leur objectif.
Distribution sur sites tiers et APK malveillants
Enfin, Kaspersky a repéré des fichiers APK sur des sites de phishing qui prétendent proposer des projets d’investissement crypto. L’installation manuelle en dehors de Google Play expose directement les utilisateurs à SparkKitty sans aucun filtre de sécurité.
Les fonctionnalités de SparkKitty
Vol d’images et de captures d’écran
Grâce à son module OCR, SparkKitty scanne systématiquement votre galerie et vos captures d’écran. Il identifie et extrait des phrases de récupération, des codes QR et des mots de passe illustrés. Ces informations sont ensuite envoyées aux serveurs des cybercriminels, qui peuvent reconstruire vos portefeuilles ou usurper votre identité.
Exfiltration des données sensibles
Au-delà des images, le Trojan pirate vos identifiants et vos cookies de navigation. Il peut ainsi accéder à vos comptes en ligne, qu’il s’agisse de banques, de plateformes de trading ou de services de messagerie. Les données quittent votre téléphone en arrière-plan, sans laisser de traces visibles pour vous avertir.
Lien avec SparkCat et évolution de la menace
Les chercheurs de Kaspersky soupçonnent un lien direct entre SparkKitty et le précédent Trojan SparkCat, pionnier sur iOS. Tous deux partagent une architecture similaire et le recours à l’OCR pour le vol de données. Cette continuité démontre l’adaptabilité des attaquants et leur volonté d’ajouter constamment de nouvelles fonctionnalités malveillantes.
Les régions et les cibles principales
Focus sur l’Asie du Sud-Est et la Chine
SparkKitty a d’abord été observé chez des utilisateurs en Asie du Sud-Est et en Chine, où les applis de cryptomonnaies et de jeux d’argent sont très populaires. Les pertes en cryptos y sont déjà conséquentes, poussant plusieurs acteurs locaux à renforcer la detection et la prévention des malwares mobiles.
Vigilance recommandée en France et ailleurs
Kaspersky a immédiatement signalé la menace à Google et Apple, qui ont retiré les applis infectées. Néanmoins, la propagation via des sites web externes met en danger tous les utilisateurs, y compris en Europe et en Amérique du Nord. Les détenteurs de smartphones iOS et Android sont invités à adopter une hygiène numérique renforcée.
Conseils pour se protéger
Vérifier l’origine des applications
Ne téléchargez que depuis les boutiques officielles (App Store, Google Play) et préférez les applis avec de nombreuses évaluations et un historique établi. Méfiez-vous des nouvelles applis crypto avec peu de téléchargements.
Examiner les permissions demandées
Avant d’installer une application, consultez la liste des permissions : une appli de messagerie ou de jeu ne devrait pas réclamer l’accès à votre galerie ni aux services d’accessibilité – souvent exploités par les malwares pour interagir avec votre écran.
Mettre à jour votre système et vos applis
Les mises à jour logicielles corrigent régulièrement des failles de sécurité. Activez les mises à jour automatiques pour votre OS et vos applis, y compris votre antivirus mobile.
Utiliser une solution de sécurité mobile
Installez un antivirus ou une suite de sécurité réputée pour détecter les comportements suspects, bloquer les connexions vers les serveurs malveillants et analyser les applis avant leur exécution.
Activer les alertes de phishing
Certains navigateurs mobiles et boîtes mail offrent des fonctions anti-phishing. Activez-les pour recevoir des notifications lorsqu’un lien mène vers un site potentiellement frauduleux.
Lire aussi : « Il m’a demandé des photos nues » : l’arnaque cruelle d’un faux Leonardo DiCaprio
Que faire en cas De virus ?
-
Déconnectez-vous immédiatement de vos comptes sensibles et changez vos mots de passe sur un appareil sûr.
-
Supprimez l’application malveillante et tous les fichiers suspects.
-
Réalisez un scan complet avec votre outil de sécurité mobile.
-
Si vous détenez des cryptomonnaies, migrez vos actifs vers un nouveau portefeuille dont les clés n’ont jamais été exposées.
-
Signalez l’incident sur les portails de cybermalveillance (cybermalveillance.gouv.fr en France) et à la plateforme Signal Spam.
Lire aussi : Attention ! Des faux mails IKEA promettent un cadeau gratuit : comment déjouer l’arnaque
L’évolution du phishing mobile
Les auteurs de SparkKitty montrent que le phishing ne se limite plus aux emails : les apps et les pages web frauduleuses prennent le relais. L’intégration de l’OCR dans un cheval de Troie mobile constitue une avance technologique inquiétante. En réponse, les fabricants d’OS renforcent les contrôles d’intégrité des applis : iOS durcit son sandbox et Google multiplie les vérifications Play Protect, mais la vigilance des utilisateurs reste primordiale.
La guerre contre le malware mobile se joue à plusieurs niveaux : régulation, sécurité intégrée, intelligence artificielle pour la détection, et éducation des usagers. Dans ce contexte, SparkKitty est un signal d’alarme : n’attendez pas d’être victime pour adopter de bons réflexes, car la prochaine campagne pourrait être encore plus sophistiquée.
Découvrez maintenant Orange : cette nouvelle arnaque par e-mail fait de nombreuses victimes, voici comment l’éviter et Faux banquiers au téléphone : l’arnaque qui a déjà piégé près d’un million de Français.
Lire aussi : Péages à flux libre : l’arnaque par SMS qui pourrait piéger des milliers d’automobilistes cet été
