Le logiciel espion SparkKitty sur l'App Store et le Play Store vole des photos pour récupérer des données cryptographiques

Les chercheurs en cybersécurité de Kaspersky ont signalé une nouvelle opération de logiciel espion, baptisée SparkKitty, qui a infecté des applications disponibles sur l'App Store officiel d'Apple et sur Google Play.

Ce logiciel espion vise à voler toutes les images des appareils mobiles des utilisateurs, dans le but présumé de trouver des informations sur les cryptomonnaies. La campagne est active depuis début 2024 et cible principalement les utilisateurs d'Asie du Sud-Est et de Chine.

Le logiciel espion SparkKitty s'infiltre dans les appareils via des applications apparemment inoffensives, souvent déguisées en versions modifiées d'applications populaires comme TikTok . Les versions malveillantes de TikTok incluaient même une fausse boutique en ligne TikToki Mall au sein de l'application, acceptant les cryptomonnaies pour les biens de consommation, nécessitant souvent un code d'invitation pour y accéder.

Selon le rapport de Kaspersky, pour les appareils iOS, les attaquants utilisent un profil de configuration Entreprise spécifique du programme Développeur d'Apple. Cela leur permet d'installer des certificats sur les iPhones qui rendent les applications malveillantes fiables, contournant ainsi le processus habituel de vérification de l'App Store pour une distribution directe.

De plus, les acteurs de la menace ont intégré leur code malveillant en modifiant des bibliothèques réseau open source comme AFNetworking.framework et Alamofire.framework , et l'ont également déguisé en libswiftDarwin.dylib .

Du côté Android, Kaspersky a découvert le logiciel espion SparkKitty dissimulé dans diverses applications de cryptomonnaie et de casino. L'une de ces applications, un outil de messagerie avec fonctionnalités cryptographiques, a été téléchargée plus de 10 000 fois sur Google Play avant d'être supprimée.

Une autre application Android infectée, diffusée hors des boutiques officielles, avait une version similaire qui s'était glissée dans l'App Store. Toutes deux incluaient le code malveillant directement dans l'application elle-même, et non pas simplement comme composant distinct.

Une fois installé, le logiciel espion SparkKitty a pour objectif principal d'accéder à toutes les photos de la galerie d'un appareil et de les voler. Bien qu'il collecte principalement des images, il semble lié à un ancien logiciel espion appelé SparkCat, qui utilise la reconnaissance optique de caractères ( OCR ), une technologie permettant de lire le texte des images, pour trouver et voler des informations spécifiques, comme les phrases de récupération de portefeuille de cryptomonnaies à partir de captures d'écran.

Certaines versions de SparkKitty utilisent également l'OCR à cette fin, en exploitant la bibliothèque Google ML Kit pour cette fonction, en particulier dans les applications distribuées via des pages Web douteuses ressemblant à des escroqueries et des systèmes de Ponzi .

Kaspersky estime que le logiciel espion SparkKitty est directement lié à la précédente campagne SparkCat, découverte en janvier 2025, et partage des méthodes de distribution similaires via les plateformes d'applications officielles et non officielles. Les deux menaces semblent également axées sur le vol de cryptomonnaies. Les attaquants à l'origine du logiciel espion SparkKitty ciblaient spécifiquement les utilisateurs d'Asie du Sud-Est et de Chine, souvent via des jeux d'argent et des jeux pour adultes modifiés, ainsi que de fausses applications TikTok .

Bien que le téléchargement d'applications depuis des boutiques tierces soit toujours risqué, cette découverte montre que même les sources fiables comme les boutiques d'applications officielles ne peuvent plus être considérées comme totalement fiables. Les utilisateurs des régions concernées, et même du monde entier, doivent rester vigilants quant aux autorisations des applications et s'interroger sur la légitimité de toute application demandant un accès inhabituel, notamment aux galeries photos.