Malware sur App Store : Une attaque inédite sur les portefeuilles de crypto-monnaie

Malicious Apps Targeting Crypto Wallets Discovered on Apple and Google App Stores
Dans une récente découverte, des chercheurs en sécurité chez ESET ont identifié des implants de logiciels malveillants intégrés dans diverses applications de messagerie modifiées. Certains de ces implants scannaient les galeries d’images des utilisateurs à la recherche de phrases de récupération d’accès à des portefeuilles de cryptomonnaie.
La campagne ciblait les utilisateurs Android et Windows, le malware se propageant principalement par le biais de sources non officielles. En fin 2024, une nouvelle campagne logicielle, baptisée “SparkCat”, utilisait des tactiques similaires pour attaquer les utilisateurs Android et iOS à la fois via les magasins d’applications officiels et non officiels.
Discovery of Malicious SDK in Android and iOS Apps
Les chercheurs ont identifié des applications Android et iOS, certaines disponibles sur Google Play et l’App Store, qui étaient infectées par un SDK/framework malveillant conçu pour voler les phrases de récupération de portefeuilles de cryptomonnaie. Les applications infectées sur Google Play avaient été téléchargées plus de 242 000 fois. Il s’agissait de la première fois qu’un voleur avait été découvert dans l’App Store d’Apple.
Le module de malware Android décryptait et lançait un plug-in OCR construit avec la bibliothèque ML Kit de Google, pour reconnaître le texte trouvé dans les images de la galerie. Les images correspondant aux mots-clés reçus du serveur C2 étaient ensuite envoyées au serveur. Le module malveillant spécifique à iOS avait une conception similaire et s’appuyait également sur la bibliothèque ML Kit de Google pour l’OCR.
Implementation of Unusual Protocol in Malware
Le malware, baptisé “SparkCat”, utilisait un protocole non identifié implémenté en Rust, un langage atypique pour les applications mobiles, pour communiquer avec le serveur C2.
En se basant sur les horodatages des fichiers de malware et les dates de création des fichiers de configuration dans les dépôts GitLab, il a été déterminé que SparkCat était actif depuis mars 2024.
Vous trouverez plus de détails techniques sur le malware et son étude dans l’article original. C’est une lecture intéressante, surtout si vous êtes passionné par l’informatique et la sécurité en ligne.
Comme toujours, restez vigilant et nous vous tiendrons informés dès que de nouvelles informations seront disponibles.
Source : www.powerpage.org