Les experts ont découvert un logiciel espion se faisant passer pour une application de commande pour voler les mots de passe du portefeuille

Les experts en cybersécurité de Kaspersky ont découvert un logiciel espion caché dans l'App Store d'Apple, un logiciel malveillant apparaissant dans une application de commande iOS appelée ComeCome, qui peut également être téléchargée depuis Google Play. Le but est de voler la phrase mnémonique des portefeuilles Cryptomonnaie des utilisateurs pour voler des Cryptoactifs.

Les experts en analyse de Kaspersky, Dmitry Kalinin et Sergey Puzan, ont déclaré que l'application transfère également les clés de cryptomonnaie des victimes à un groupe d'escrocs. Selon les chercheurs de Kaspersky, cette application de commande de repas est intégrée à un framework SDK malveillant qui déverrouille le plugin de reconnaissance optique des caractères (OCR) à un moment indéterminé. Lorsque le code OCR commence à fonctionner, l'application recherche des captures d'écran sur l'appareil mobile et scanne la phrase mnémonique du portefeuille de cryptomonnaie (Seed Phrase), permettant ainsi au logiciel espion de voler les cryptomonnaies du portefeuille des utilisateurs.

Les experts indiquent que si la phrase mnémonique est volée par un groupe criminel, le groupe criminel derrière l'application peut contrôler le portefeuille de cryptomonnaie de la victime et transférer des fonds. C'est pourquoi il est préférable de conserver la phrase mnémonique en toute sécurité, en accédant hors ligne, plutôt que de simplement la conserver en prenant une capture d'écran sur un téléphone mobile.

Apple a retiré l'application Come Come de la plateforme, mais ce qui est effrayant, c'est que ni Google Play ni l'App Store d'Apple n'ont détecté le logiciel malveillant intégré à l'application. À l'heure actuelle, il y a plus d'une application semblable à Come Come disponible sur les boutiques d'applications, qui semblent normales et peuvent contourner les vérifications de mise en ligne. Même l'App Store d'Apple, en qui les utilisateurs ont confiance, a été trompé par ces applications qui semblent être des applications couramment utilisées mais contiennent le logiciel malveillant SparkCat. Ce logiciel vise à voler des informations sensibles telles que les mots de passe de compte et les phrases mnémoniques des portefeuilles de chiffrement.

Le logiciel malveillant SparkCat vole spécifiquement les mots de passe et les phrases mnémoniques

Les experts ont nommé le logiciel malveillant qui vole les phrases mnémoniques SparkCat et ont souligné qu'il est suffisamment flexible pour non seulement voler les phrases mnémoniques, mais aussi voler d'autres données sensibles de la galerie de photos du téléphone, telles que les messages ou les mots de passe dans les captures d'écran du téléphone.

L'équipe de Kaspersky indique que les groupes criminels ciblent les utilisateurs d'Android et d'iOS en Europe et en Asie. De nombreuses applications sur le Google Play Store ont été infectées par SparkCat, avec plus de 242 000 téléchargements.

Il est impossible de confirmer si SparkCat a infiltré ces applications par des pirates informatiques ou si l'équipe de développement de l'application elle-même est un groupe d'escrocs. Apple a retiré l'application ComeCome de l'App Store iOS, et Google Play a également retiré cette application problématique. Cependant, les experts craignent qu'il y ait encore de nombreuses applications commerciales en apparence normales cachées dans les magasins et qui pourraient être téléchargées par des utilisateurs non avertis.

Comment SparkCat fonctionne-t-il ?

SparkCat fait référence à un module fortement obscurci appelé Spark dans une application malveillante. Ce logiciel espion est principalement écrit en Java et utilise Rust pour mettre en œuvre des protocoles non identifiés et communiquer avec un serveur de commande et de contrôle à distance (C2).

Une fois connecté à son serveur C2, la version Android de Spark télécharge et utilise un wrapper de l'interface Text Recognizer de la bibliothèque Google ML Kit pour extraire des caractères de l'écran. Ce logiciel malveillant charge différents modèles OCR en fonction de la langue du système pour reconnaître les caractères latins, coréens, chinois ou japonais dans les images. Lorsqu'il interagit avec l'application (via le SDK Easemob Help Desk tiers légitime), l'application demande l'accès à la bibliothèque d'images de l'appareil mobile. Si les criminels obtiennent l'autorisation d'accès, ils utilisent la capture d'écran OCR pour voler la phrase mnémonique du portefeuille de chiffrement et l'envoient au serveur C2.

Comment prévenir les logiciels espions malveillants ?

Notez la phrase mnémonique du portefeuille de chiffrement sur papier avec un stylo, c'est le moyen le plus ancien de protéger la phrase mnémonique. Beaucoup de gens la prendront en capture d'écran sur leur téléphone pour plus de commodité, mais les experts estiment que cette méthode est plus dangereuse. En plus de ne pas télécharger d'application provenant de sources inconnues, il est important de vérifier régulièrement les autorisations des applications, et de vérifier si les fonctionnalités d'enregistrement audio, vidéo et de capture d'écran sont activées de manière inattendue. De nombreuses applications demandent à l'utilisateur d'activer ces autorisations lors du téléchargement, il est donc préférable de les vérifier régulièrement et de désactiver les autorisations lorsqu'elles ne sont pas utilisées, afin d'empêcher les applications tierces d'accéder facilement à votre appareil. C'est une mesure de précaution de base relativement simple à prendre au quotidien.

Les experts ont découvert que ce logiciel espion se faisait passer pour une application de commande pour voler la phrase mnémonique du portefeuille chiffrement. Cela a été signalé pour la première fois par ABMedia News Chain.