Les chercheurs de Kaspersky ont annoncé ce lundi avoir identifié un nouveau logiciel espion appelé SparkKitty qui cible les smartphones sous iOS et Android. Celui-ci permet de voler des images et des informations enregistrées sur l'appareil infecté pour les envoyer aux acteurs de la menace.
Attention à SparkKitty. Précisément parce que ce logiciel malveillant est intégré à des applications liées aux cryptomonnaies et à des jeux d'argent, ainsi que dans une application TikTok parasitée par un cheval de Troie, distribuées sur l'App Store, Google Play, et sur des sites web frauduleux, avertissent les chercheurs de Kasperky. D'après les experts en cybersécurité, l'objectif des pirates serait de voler des crypto-actifs à des victimes se trouvant en Asie du Sud-Est et en Chine.
Mais les utilisateurs français pourraient également être confrontés à une cybermenace similaire, avertit Kaspersky. Le spécialiste a en effet exposé à Google et à Apple l'existence de ces applications malveillantes. Des caractéristiques techniques supposent que cette nouvelle campagne malveillante serait liée au cheval de Troie SparkCat découvert précédemment, un logiciel malveillant (le premier du genre sur iOS) qui dispose d'un module de reconnaissance optique de caractères (OCR) intégré qui lui permet de scanner des galeries d'images et de voler des captures d'écran contenant des phrases de récupération ou des mots de passe de portefeuilles de cryptomonnaies.
USURPATION D'APPLICATION
Après SparkCat, l'affaire SparkKitty marque la deuxième découverte en un an d'un cheval de Troie voleur. Sur l'App Store, celui-ci se faisait passer pour une application liée aux cryptomonnaies.
Des pages de hameçonnage imitant l'App Store officiel de l'iPhone distribuaient alors le malware sous le couvert d'applications TikTok et de jeux d'argent. «L'un des vecteurs de distribution du cheval de Troie s'est avéré être de faux sites web depuis lesquels les attaquants ont tenté d'infecter les iPhone des victimes. iOS dispose de plusieurs moyens légitimes pour installer des programmes ne provenant pas de l'App Store», avance l'expert en logiciels malveillants chez Kaspersky, Sergey Puzan.
Et de détailler : «Dans cette campagne malveillante, les attaquants ont utilisé l'un d'entre eux : des outils de développement spéciaux pour distribuer des applications professionnelles. Dans la version infectée de TikTok, le logiciel malveillant, en plus de voler des photos dans la galerie du smartphone, intègre des liens vers une boutique suspecte dans la fenêtre du profil de la personne. Cette boutique n'accepte que les cryptomonnaies, ce qui renforce nos inquiétudes à son sujet».
Côté Android, les attaquants ont pris pour cible les utilisateurs à la fois sur des sites Web tiers et sur Google Play, faisant passer le logiciel malveillant pour divers services cryptographiques. Par exemple, l'une des applications infectées, une messagerie instantanée appelée SOEX dotée d'une fonction d'échange de cryptomonnaies, a été téléchargée plus de 10.000 fois depuis la boutique officielle.
Les experts ont également trouvé des fichiers APK d'applications infectées (qui peuvent être installés directement sur les smartphones Android en contournant les boutiques officielles) sur des sites web pouvant être liés à la campagne étudiée. Ils sont présentés comme des projets d'investissement crypto.
«Il existe des signes indirects indiquant que les attaquants s'intéressent aux actifs numériques des personnes : bon nombre des applications infectées sont directement liées aux cryptomonnaies, et l'application TikTok infectée par un cheval de Troie dispose également d'une boutique intégrée n’acceptant que les paiements en cryptomonnaies», observe enfin Dmitry Kalinin, expert en logiciels malveillants chez Kaspersky.
Commentaires (0)
Participer à la Discussion