Depuis plusieurs mois, un redoutable malware nommé SparkKitty s’est infiltré dans les boutiques officielles d’applications mobiles. Inconnu au bataillon jusqu'ici, des révélations récentes des équipes de Kaspersky viennent de le mettre en lumière. L'objectif du virus : voler photos, captures d’écran et données sensibles des utilisateurs d’iOS et d’Android, tout en visant particulièrement leurs actifs en cryptomonnaies.
Un voleur dans les galeries photos
Derrière son nom mignon aux allures félines, SparkKitty ne cache rien de sympathique. Héritier direct du malware SparkCat identifié en début d’année, ce cheval de Troie sophistiqué utilise un module de reconnaissance optique de caractères (OCR) pour scanner systématiquement les photos et les captures d’écran stockées sur votre téléphone. Son but ? Repérer et extraire, parmi toutes les images, les phrases de récupération ou les clés privées des portefeuilles crypto, véritable graal des pirates.
Une fois installé, SparkKitty ne se limite pas aux seuls clichés : il récupère aussi cookies, identifiants et autres données sensibles. Tout cela se déroule dans le plus grand secret, sans que l’utilisateur ne se rende compte d'une quelconque activité suspecte. L’exfiltration des données se fait en arrière-plan et de manière rapide, sans ralentissement notable de votre smartphone.
Des apps vérolées au nez et à la barbe d’Apple et Google
Comment ce virus parvient-il à déjouer les contrôles stricts des deux géants du mobile ? D’après Kaspersky, SparkKitty se diffuse via plusieurs méthodes. Sur Android, il apparaît dans certaines applications ayant trait aux jeux d’argent, aux cryptomonnaies, ou encore sous la forme de fausses messageries instantanées. L’une d’elles, baptisée SOEX et proposant une fonction d’échange de crypto-actifs, a atteint plus de 10 000 téléchargements avant son retrait récent.
Les applications vérolées fonctionnent normalement et remplissent leur vocation. Une fois votre vigilance réduite, elles téléchargent et installent SparkKitty. Le virus a alors le champ libre pour piller votre smartphone.
Du côté d’iOS, le modus operandi est tout aussi sournois. Des applis contaminées, comme une version falsifiée de TikTok ou des programmes crypto factices, ont été diffusées via de faux sites web imitant à la perfection l’App Store officiel. Plus inquiétant encore : les pirates ont exploité un mécanisme professionnel d’Apple permettant d’installer des applis sans passer par la boutique officielle, via des profils développeur. Une porte dérobée légitime mais détournée à des fins criminelles.
L’Europe pourrait être la prochaine cible
Jusqu’à présent, les principales victimes identifiées se situent en Asie du Sud-Est et en Chine, où les applis crypto connaissent un grand succès. Mais les chercheurs de Kaspersky avertissent que l’Europe et notamment la France pourraient rapidement être dans la ligne de mire des cybercriminels. Google et Apple ont été alertés et ont réagi en supprimant les applications identifiées, mais cela ne suffit pas à éliminer le risque. Les pirates capitalisent notamment sur la prolifération des sites externes et des fichiers APK téléchargeables en dehors des plateformes officielles.
Pour éviter de tomber dans le piège, quelques précautions simples s’imposent : vérifiez toujours l’origine des applications avant de les installer, privilégiez les stores officiels, examinez attentivement les permissions que vous accordez et évitez absolument de conserver des captures d’écran contenant des informations sensibles dans votre galerie.
