Toutes les applications ne sont pas sûres. C’est pourquoi je recommande toujours de télécharger des applications à partir de magasins d’applications officielles, comme l’iOS App Store et Google Play Store, plutôt qu’un site Web aléatoire: Apple et Google ont tous deux des politiques pour rechercher des logiciels malveillants et les arrêter avant d’atteindre les magasins d’applications. Mais aucune des entreprises n’est parfaite, et les applications infectées par des logiciels malveillants se retrouvent plus souvent sur les marchés officiels des applications que nous aimerions penser. Ces applications apparaissent généralement sur le Play Store plus que l’App Store étant donné qu’Apple est extrêmement strict, mais cela ne signifie pas que l’App Store est imperméable aux logiciels malveillants – cela se produit certainement, et nous l’avons déjà couvert. En fait, les chercheurs viennent de trouver un lot d’applications contenant des programmes malveillants sur les plateformes d’Apple et de Google. Et c’est la première fois que ce type spécifique de logiciels malveillants est trouvé sur l’App Store iOS.
Qu’est-ce que Sparkcat?
Des chercheurs de Kaspersky ont découvert des applications sur le Play Store de Google et l’App Store d’Apple qui contenaient des cadres malveillants, spécialement conçus pour voler des phrases de récupération de portefeuille cryptographique – une série de mots utilisés pour accéder à la crypto-monnaie dans les portefeuilles numériques. Les chercheurs appellent ce malware «Sparkcat», et ils pensent qu’il circule depuis mars 2024.
Si vous avez téléchargé l’une de ces applications sur iOS ou Android, l’application demanderait probablement l’autorisation d’accéder à votre bibliothèque photo, alors le Framework malveillant lancerait un plug-in de reconnaissance de caractères optiques (OCR) pour scanner et identifier le texte dans vos images. Si le programme trouvait du texte qui correspondait à certains mots clés, il enverrait alors ces images à un serveur distant. L’idée ici est de scanner votre bibliothèque à la recherche de captures d’écran qui révèlent les phrases de récupération dans votre portefeuille cryptographique et de les renvoyer aux voleurs qui pourraient ensuite utiliser ces phrases pour pénétrer et voler des comptes.
L’une des premières applications à susciter les chercheurs de Kaspersky était une application de livraison de nourriture chinoise appelée Comecome. Il est toujours disponible sur iOS et Android, et est la première application connue infectée par OCR malware à apparaître sur l’App Store d’Apple, selon Kaspersky. Un examen négatif à partir de 2023 suggère que l’application a utilisé des logiciels malveillants pour voler des informations, mais il n’est pas clair que l’application utilise cette tactique OCR spécifique tout le temps.
Kaspersky a également découvert d’autres applications avec un cadre malveillant similaire. Il est important de noter que les chercheurs ne peuvent pas dire si les logiciels malveillants ont été placés dans ces applications par un acteur malveillant ou les développeurs d’applications l’ont intégré eux-mêmes. Cela dit, il semble que certaines applications ont été conçues pour attirer des utilisateurs sans offrir de services légitimes en retour, comme plusieurs services de messagerie d’IA du même développeur. Plus précisément, c’est WETINK et Anygpt, qui sont toujours en vie au moment de la rédaction.
Où aller d’ici
Tout d’abord, si l’une de ces applications affectées est installée sur votre iPhone ou Android, supprimez-les maintenant. Même si les développeurs n’ont pas ajouté le cadre malveillant intentionnellement (ce qui peut se produire si un tiers détourne l’application), ils ne sont pas sûrs de garder sur votre appareil. Après cela, prenez un moment pour nettoyer le dossier des images de votre iPhone ou Android. Si vous avez des images contenant des phrases de récupération pour votre portefeuille cryptographique, assurez-vous de les supprimer, mais envisagez également de supprimer des images qui contiennent des informations sensibles en premier lieu. D’autres souches de logiciels malveillants peuvent profiter de cette tactique OCR pour rechercher des numéros de sécurité sociale ou des informations de compte bancaire, par exemple, il est donc préférable d’éliminer complètement ce risque.
Enfin, faites preuve de prudence lors du téléchargement de nouvelles applications, même en le faisant via des magasins d’applications officielles. Assurez-vous de revoir tous les aspects de la page d’une application avant de l’installer, y compris les avis, la description et les captures d’écran. Si quelque chose semble éteint, il est probablement préférable d’éviter de le télécharger. Et éviter les applications AI génériques comme la peste. Les développeurs savent qu’il existe une forte demande d’applications d’IA, ce qui signifie que les utilisateurs malveillants peuvent ajouter sournoisement des logiciels malveillants aux applications dans l’espoir qu’un fan d’IA télécharge son dernier schéma. Ne tombez pas pour ça.
