Récemment, les chercheurs en cybersécurité ont alerté au sujet d'une nouvelle variante de logiciels malveillants connu sous le nom de SparkCat qui a réapparu dans les magasins d'applications mobiles officiels: les deux dans le App Store Pommes comme dans Google Play Store. Ce qui est inquiétant, c'est que les installateurs ne sont pas des applications suspectes à l'œil nu : ils sont camouflés dans des programmes qui semblent sûrs, comme les messagers d'affaires ou les services de livraison de nourriture, et agissent tranquillement en arrière-plan.
Spark La fonction malveillante la plus dangereuse de Cat est sa capacité à scanner les galeries de photos de l'appareil à la recherche des phrases de récupération de pièces de cryptomoneda. Ce type de phrase - la fameuse « graine » ou mnémonique - permet de restaurer le contrôle sur les portefeuilles numériques; s'ils tombent entre les mains d'un attaquant, le vol d'actifs peut être pratiquement instantané. Chercheurs de la société russe Kaspersky Ils ont noté la détection de plusieurs applications infectées sur les deux plateformes et expliqué comment les logiciels malveillants envoient seulement des images contenant du texte pertinent aux serveurs contrôlés par les opérateurs.
Une différence significative entre les variantes est la stratégie linguistique et de portée. La version qui affecte iOS a été conçue pour identifier des phrases mnémoniques en anglais, ce qui la rend potentiellement plus large en termes de portée, car elle ne dépend pas d'une langue régionale spécifique. Pour sa part, la variante Android intègre des mécanismes de recherche de mots en japonais, coréen et chinois, pointant vers un accent sur les utilisateurs asiatiques.
En plus des modèles de langue, les changements techniques dans la version Android indiquent une évolution dans la sophistication des logiciels malveillants. Les développeurs ont ajouté plusieurs couches d'utilisation pour compliquer leur analyse: de la virtualisation du code à l'utilisation de langages et d'outils multiplateformes qui cherchent à échapper à l'inspection statique et dynamique utilisée par les équipes de réponse. En d'autres termes, SparkCat a appris à mieux se cacher et à ralentir ou à confondre les analystes.
Le vecteur d'exfiltration est basé sur un module optique de reconnaissance de caractères (OCR) qui analyse les images stockées dans l'appareil. Lorsque l'OCR détecte le texte lié à une phrase de récupération, l'image pertinente est transférée au serveur de l'agresseur. Cette technique a d'abord été décrite par Kaspersky en février 2025 et revient maintenant avec des améliorations, confirmant que le projet malveillant est actif et en développement continu.
Les chercheurs ont lié l'opération à un acteur de langue chinoise et, selon leurs constatations, les similitudes entre les anciens et les nouveaux échantillons suggèrent que les responsables sont les mêmes opérateurs ou un groupe très apparenté. L'analyse des comportements et des chaînes d'infection a conduit des experts comme Sergey Puzan à souligner la nécessité d'outils mobiles de sécurité et à prêter attention aux permis accordés aux applications. Dans ses déclarations à la presse, Puzan a souligné que les logiciels malveillants demandent l'accès à des photos dans certains scénarios, puis utilise OCR pour décider quoi envoyer aux attaquants.
D'un point de vue pratique, cela met à nouveau sur la table des recommandations que tout utilisateur de cryptomoneda devrait prendre au sérieux. En stockant une copie photographique de la phrase de récupération sur le téléphone fait que la copie d'une cible. Les portefeuilles de matériel et les pratiques de stockage à froid restent les défenses les plus robustes contre ce type de vol. De plus, examinez attentivement les autorisations demandées par les applications avant de les installer et méfiez-vous des applications qui demandent l'accès à la galerie lorsqu'elles n'ont aucune raison claire de le faire, ce qui réduit considérablement le risque.
Les magasins officiels ont amélioré leurs contrôles, mais les incidents montrent qu'ils ne sont pas infaillibles : les applications malveillantes peuvent passer des avis initiaux ou apparaître après les mises à jour qui introduisent le code hostile. Il est donc recommandé de compléter les protections natives par des solutions de sécurité mobiles et de vérifier la réputation des développeurs avant d'installer. Ressources Apple sur l'examen des applications et des outils de protection comme Google Play Protéger peut atténuer les risques, bien qu'ils ne remplacent pas la prudence de l'utilisateur.
Pour ceux qui gèrent des actifs numériques, il est également approprié de suivre des guides de sécurité spécialisés : les fabricants de porte-monnaie et les plateformes telles que MétaMasque et fabricants de matériel comme Grand livre proposer des recommandations claires sur la façon de sauvegarder les phrases mnémoniques et de minimiser l'exposition. Et, au-delà de cryptomoneda, garder le système d'exploitation et les applications à jour réduit la fenêtre d'opportunité pour les logiciels malveillants d'exploiter les vulnérabilités connues.
La réapparition de SparkCat rappelle que la menace mobile est dynamique : les auteurs non seulement réutilisent des idées, mais les perfectionnent. La recherche publiée par Kaspersky et la couverture des médias spécialisés tels que Les nouvelles Hacker montrer que ces types de campagnes cherchent à maximiser leur impact avec des techniques relativement simples mais efficaces pour trouver des utilisateurs à faible risque.
Bref, la leçon est claire : le confort d'avoir tout au téléphone ne doit pas se traduire par la négligence avec les clés (les phrases de départ) de nos portefeuilles numériques. Enregistrer une sentence de récupération dans une photo mobile invite le vol. Prendre des mesures d'hygiène numérique de base et parier sur des solutions de sécurité et de stockage hors ligne peut faire la différence entre maintenir ou perdre le contrôle des actifs.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...
PinTheft l'explosion publique qui pourrait vous donner racine sur Arch Linux
Une nouvelle explosion publique a fait ressortir la fragilité du modèle de privilèges Linux : l'équipe de sécurité V12 a qualifié l'échec de Vol d'épingles et publié un test de ...