Selon un rapport de Kaspersky, un malware baptisé SparkCat a été détecté pour la première fois dans des applications suspectes de l’App Store, et il contient un code permettant de lire le contenu des captures d’écran sur iOS.
Le malware SparkCat utilise des capacités de reconnaissance optique de caractères (OCR) pour identifier les informations sensibles dans les captures d’écran prises par l’utilisateur. Les applications infectées, identifiées par Kaspersky, ciblent principalement les phrases de récupération des portefeuilles de cryptomonnaies, permettant aux attaquants de voler des bitcoins ou d’autres cryptomonnaies.
Les apps concernées intègrent un module malveillant utilisant un plug-in OCR basé sur la bibliothèque ML Kit de Google. Lorsqu’une capture d’écran contenant des informations de portefeuille est identifiée, celle-ci est envoyée à un serveur contrôlé par l’attaquant.
D’après Kaspersky, SparkCat est actif depuis environ mars 2024. Bien que des malwares similaires aient déjà ciblé des appareils Android et PC en 2023, c’est la première fois qu’ils s’attaquent à iOS. Les applications concernées, telles que ComeCome, WeTink, et AnyGPT, ont rapidement été retirée de l’App Store. Elles semblaient viser principalement les utilisateurs iOS en Europe et en Asie.
Il reste incertain si l’infection résulte d’une action délibérée des développeurs ou d’une attaque par la chaîne d’approvisionnement.
Les applications demandent l’autorisation d’accéder aux photos de l’utilisateur après téléchargement. Une fois cette autorisation accordée, elles utilisent l’OCR pour analyser les images à la recherche de textes sensibles. Bien que ces apps ciblent spécifiquement les informations liées aux portefeuilles de cryptomonnaies, le malware peut également être adapté pour rechercher d’autres types de données sensibles, comme des mots de passe.
Apple est connu pour vérifier minutieusement chaque app publiée sur l’App Store. Cependant, l’apparition de ce malware reflète une défaillance du processus de révision. Les permissions demandées par ces apps semblent légitimes et nécessaires à leur fonctionnement de base, ce qui a pu compliquer leur détection.
Kaspersky recommande aux utilisateurs de ne pas stocker de captures d’écran contenant des informations sensibles, comme des phrases de récupération de portefeuilles crypto, dans leur bibliothèque de photos.
Une liste complète des frameworks iOS infectés ainsi que des informations supplémentaires sur SparkCat sont disponibles sur le site de Kaspersky.