Dernièrement, les chercheurs de Kaspersky Lab ont identifié un nouveau cheval de Troie, nommé SparkCat. Son rôle, dérober des données sensibles. Ce malware a infiltré des applications disponibles sur l’App Store d’Apple, Google Play et d’autres plateformes non officielles. De plus, il se propage via des messageries infectées, des assistants IA, des applications de livraison de nourriture et des plateformes d’échange de cryptomonnaies. Les applications contenant ce module malveillant, téléchargées plus de 242 000 fois depuis Google Play, marquent le premier cas connu d’un voleur s’infiltrant dans l’App Store.
Fonctionnement du malware SparkCat
Une fois installé sur un appareil, SparkCat demande l’accès aux photos. Ensuite, il analyse le texte des images présentes dans la galerie en utilisant la reconnaissance optique de caractères (OCR) basée sur la bibliothèque Google ML Kit. Si des mots-clés pertinents sont détectés, l’image est envoyée aux opérateurs du malware. L’objectif principal est de trouver des phrases permettant de restaurer l’accès aux portefeuilles cryptographiques afin de voler les actifs numériques des victimes. De plus, le logiciel malveillant peut dérober d’autres données. Par exemple, comme le contenu des messages ou des mots de passe présents dans des captures d’écran.
Propagation et impact géographique
Les attaques de SparkCat ont principalement ciblé des utilisateurs d’Android et d’iOS aux Émirats arabes unis, en Europe et en Asie. Les experts n’excluent pas que d’autres régions, notamment la Russie, puissent également être concernées par cette menace. Bien que les attaques initiales de SparkCat aient ciblé des utilisateurs aux Émirats arabes unis, en Europe et en Asie, la nature mondiale des plateformes d’applications signifie que le malware pourrait rapidement se propager à d’autres régions. Avec plus de 242 000 téléchargements d’applications infectées depuis Google Play, le potentiel de propagation devient alarmant.
SparkCat infiltre des plateformes officielles
Ce qui est particulièrement effrayant, c’est que SparkCat a réussi à s’intégrer dans des kits de développement logiciel (SDK). Ceux-ci, peuvent se télécharger sur des plateformes de distribution d’applications majeures telles que Google Play et l’App Store d’Apple. Cela soulève des questions sur la sécurité des applications utilisant des SDK tiers. Car ils peuvent être compromis intentionnellement ou par des vulnérabilités de la chaîne d’approvisionnement. Jusqu’à présent, environ 242 000 appareils ont été touchés, principalement en Europe et en Asie.
Recommandations pour les utilisateurs
Pour se protéger contre des menaces telles que SparkCat, il est essentiel d’adopter des mesures de sécurité robustes :
-
Utiliser des mots de passe forts et uniques :
Évitez les mots de passe faciles à deviner et n’utilisez jamais le même mot de passe pour plusieurs comptes.
-
Activer l’authentification à deux facteurs (2FA) :
Ajouter une couche de sécurité supplémentaire réduit considérablement le risque d’accès non autorisé.
-
Opter pour des portefeuilles matériels (hardware wallets) :
Ces dispositifs offrent un niveau de sécurité élevé en stockant les clés privées hors ligne, les rendant immunisés contre les menaces en ligne.
-
Éviter les réseaux Wi-Fi publics :
Pour accéder à votre portefeuille crypto ou effectuer des transactions, privilégiez des connexions sécurisées pour réduire le risque de piratage.
-
Mettre régulièrement à jour les logiciels et applications :
Les mises à jour corrigent souvent des vulnérabilités de sécurité connues.
-
Télécharger des applications uniquement depuis des sources officielles :
Bien que SparkCat ait réussi à infiltrer des plateformes officielles, il est généralement plus sûr de télécharger des applications depuis des sources reconnues.
Analyse des incidences futures du malware SparkCat
Évolution des menaces liées aux malwares
Le paysage des cyber-menaces évolue rapidement, avec une augmentation notable des attaques de malwares. Par exemple, en 2023, le nombre de victimes de ransomwares en mars était presque le double de celui de l’année précédente. De plus, la rançon moyenne versée a considérablement augmenté, passant de 812 380 $ en 2022 à 1 542 333 $ en 2023.
Impact potentiel de SparkCat sur les portefeuilles cryptographiques
SparkCat cible spécifiquement les portefeuilles de cryptomonnaies en extrayant des informations sensibles, telles que les phrases de récupération. Étant donné la valeur croissante des actifs numériques, les conséquences financières pour les victimes pourraient être considérables. Par exemple, en 2020, des cybercriminels ont cloné la voix d’un directeur d’entreprise pour initier un transfert bancaire de 35 millions de dollars.
Conséquences pour les développeurs et les plateformes d’applications
L’infiltration de SparkCat dans des kits de développement logiciel (SDK) disponibles sur des plateformes majeures comme Google Play et l’App Store d’Apple souligne la nécessité pour les développeurs de renforcer la sécurité de leurs applications. Les plateformes devront également améliorer leurs processus de vérification pour empêcher la distribution de logiciels malveillants.
Autres menaces ciblant les portefeuilles de cryptomonnaies
Outre SparkCat, plusieurs autres malwares représentent une menace significative pour la sécurité des portefeuilles de cryptomonnaies.
Anubis : un voleur polyvalent
Anubis est un malware dérivé du code de Loki, capable de voler des identifiants de portefeuilles de cryptomonnaies, des informations système et des détails de cartes de crédit. Disponible sur les marchés du dark web depuis juin 2020, il a été détecté dans des campagnes d’attaques ciblées.
PennyWise : une menace émergente
Identifié en juin 2022, PennyWise se propage via des vidéos YouTube prétendant offrir des logiciels de minage de bitcoins gratuits. Ce malware cible plus de 30 portefeuilles de cryptomonnaies et extensions de navigateurs. Outre des portefeuilles froids comme Armory, Bytecoin, Jaxx, Exodus et Electrum. Il vole les fichiers de portefeuilles et les envoie aux attaquants.
EthClipper : une attaque sur les portefeuilles matériels
EthClipper est une attaque ciblant les portefeuilles matériels sur la plateforme Ethereum. Le malware manipule le presse-papiers pour remplacer l’adresse du destinataire par une adresse contrôlée par l’attaquant. Notamment, en exploitant la difficulté des utilisateurs à vérifier manuellement les longues adresses cryptographiques.
Statistiques alarmantes
Au premier semestre 2024, les escroqueries liées aux cryptomonnaies ont entraîné des pertes de plus de 1,8 milliard d’euros. Bien que le nombre total d’attaques ait diminué, le montant moyen volé par incident a presque doublé. Notamment en atteignant 1,58 milliard de dollars. Les attaques par ransomware ont également augmenté, accumulant près de 460 millions de dollars sur la même période.
Voir aussi : Les pirates nord-coréens déploient un nouveau malware ravageur, « Durian »
L’émergence de SparkCat souligne l’importance de la vigilance et de la mise en place de mesures de sécurité appropriées. En adoptant des pratiques de sécurité recommandées, les utilisateurs peuvent réduire significativement le risque de compromission de leurs portefeuilles cryptographiques.
