Un nouveau type de menace inquiète : un malware capable d’analyser les captures d’écran des smartphones pour y extraire des données sensibles. Baptisé SparkCat, ce logiciel malveillant, découvert par Kaspersky, cible en priorité les phrases de récupération des portefeuilles de cryptomonnaies. Sa méthode ? L’utilisation de la reconnaissance optique de caractères (OCR), une technologie qui lui permet de scanner et interpréter le texte présent sur les images enregistrées par les utilisateurs.
Un malware redoutablement intelligent
Depuis son apparition en mars 2024, SparkCat se distingue par sa sophistication. Il reconnaît plusieurs alphabets, dont le latin, le chinois, le coréen et le japonais, ce qui lui permet d’attaquer une large base d’utilisateurs à travers le monde. Grâce à des applications malveillantes comme « ComeCome », « WeTink » et « AnyGPT », diffusées sur l’App Store, il s’infiltre discrètement sur les appareils mobiles. Ces applications demandent des autorisations en apparence anodines, mais une fois installées, elles exploitent les captures d’écran stockées pour en extraire des informations sensibles.
Inscrivez-vous à la newsletter
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
Un danger bien plus vaste que les cryptomonnaies
Si SparkCat s’intéresse en priorité aux portefeuilles de cryptomonnaies, il ne s’arrête pas là. Ce malware peut aussi voler des mots de passe, des codes de validation et tout autre type d’information visible à l’écran. Son existence met en lumière une faille préoccupante dans la validation des applications par Apple, dont les processus de contrôle, bien que stricts, ne suffisent pas toujours à stopper ces attaques sophistiquées.
Cette vulnérabilité est d’autant plus inquiétante que SparkCat n’a pas de barrière linguistique : il peut attaquer n’importe quel utilisateur, où qu’il soit dans le monde.
Une attaque sophistiquée sous le radar
D’après Kaspersky, SparkCat communique avec ses serveurs de commande et de contrôle (C2) via un protocole non identifié, codé en Rust. Un choix inhabituel qui témoigne d’une évolution dans les stratégies des cybercriminels, cherchant à contourner les détections classiques. Les fichiers du malware montrent qu’il était actif bien avant sa découverte officielle, signe que son infiltration a été longue et méthodique.
Les chercheurs en cybersécurité ont également identifié des liens avec des frameworks iOS compromis, ce qui suggère que SparkCat pourrait être la partie émergée d’une menace encore plus vaste. Son infiltration dans l’écosystème Apple pose question : comment un malware aussi avancé a-t-il pu passer entre les mailles du filet ?