Le malware SparkCat refait surface sur l'App Store et Google Play, utilisant l'OCR pour voler les phrases de récupération de portefeuilles crypto.
En bref
- Une nouvelle variante du malware SparkCat a été découverte sur l'App Store iOS et Google Play, ciblant les portefeuilles crypto
- Le malware utilise l'OCR pour scanner les photos à la recherche de phrases de récupération de wallets
- Les applications infectées se faisaient passer pour des messageries et services de livraison légitimes
Ce qui s'est passé
Les chercheurs de Kaspersky ont identifié en avril 2026 une nouvelle variante du trojan SparkCat dissimulée dans des applications disponibles sur l'App Store d'Apple et le Google Play Store. Deux applications infectées ont été repérées sur la boutique Apple et une sur celle de Google, ciblant principalement les utilisateurs de cryptomonnaies en Asie, selon The Hacker News.
Le malware se cache dans des applications d'apparence anodine — messageries d'entreprise et services de livraison alimentaire — tout en scannant silencieusement les galeries photo des victimes. Il utilise la reconnaissance optique de caractères pour détecter les phrases mnémoniques de récupération de portefeuilles crypto capturées en screenshot par les utilisateurs. La variante iOS scanne les phrases en anglais, élargissant potentiellement le bassin de victimes au-delà de l'Asie.
Les applications malveillantes identifiées par Kaspersky incluent 币coin sur l'App Store et SOEX sur Google Play, toutes deux retirées depuis. Cette version améliorée de SparkCat intègre plusieurs couches d'obfuscation par rapport aux itérations précédentes, notamment la virtualisation de code et l'utilisation de langages de programmation cross-platform pour contourner les analyses statiques, d'après l'analyse de Dark Reading.
Pourquoi c'est important
Cette découverte est particulièrement préoccupante car elle démontre que les processus de validation des stores officiels, y compris celui d'Apple réputé plus strict, restent contournables par des malwares sophistiqués. SparkCat avait déjà été découvert en février 2025 sur les deux plateformes, ce qui signifie que les attaquants ont eu plus d'un an pour perfectionner leurs techniques d'évasion.
Le vecteur d'attaque est redoutablement efficace : de nombreux utilisateurs de cryptomonnaies prennent des captures d'écran de leur phrase de récupération par commodité, sans réaliser que cette pratique les expose à ce type d'exfiltration. L'évolution vers des techniques d'obfuscation avancées comme la virtualisation de code rend la détection par les antivirus mobiles classiques nettement plus difficile.
Ce qu'il faut retenir
- Ne jamais stocker de phrases de récupération crypto sous forme de photo ou screenshot sur un appareil mobile
- Vérifier régulièrement les permissions des applications installées, en particulier l'accès à la galerie photo
- Privilégier un gestionnaire de mots de passe chiffré ou un support physique hors ligne pour les seed phrases
Comment SparkCat parvient-il à voler les cryptomonnaies ?
SparkCat utilise la technologie OCR intégrée aux appareils mobiles pour scanner automatiquement toutes les images de la galerie photo. Il recherche des motifs correspondant à des phrases mnémoniques de récupération de portefeuilles crypto, généralement composées de 12 ou 24 mots. Une fois détectées, ces phrases sont exfiltrées vers les serveurs des attaquants, qui peuvent alors vider le portefeuille associé.
Besoin d'un accompagnement expert ?
Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.
Prendre contactÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris · Habilitation Confidentiel Défense
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur GINA — le module d'authentification de Windows NT4 — et auteur de la version française du guide de sécurité Windows NT4 pour la NSA, il a forgé son expertise au cœur même des systèmes qui protègent des millions d'utilisateurs. Expert Judiciaire auprès de la Cour d'Appel de Paris et titulaire de l'Habilitation Confidentiel Défense, il intervient sur les dossiers les plus sensibles.
À la tête d'Ayi NEDJIMI Consultants, il dirige des missions de pentest d'infrastructures complexes, d'audit Active Directory, de rétro-ingénierie de malwares et de forensics numérique pour les forces de l'ordre et le secteur privé. Conférencier international (Europe & US), il a formé plus de 10 000 professionnels et réalisé plus de 100 missions d'audit — des PME aux grands groupes du CAC 40.
Certifié Microsoft MVP, Cisco CCIE, Juniper JNCIE-SEC et instructeur CEH, il développe également des solutions d'IA sur mesure (RAG, agents LLM, fine-tuning) et publie régulièrement des analyses techniques, guides méthodologiques et outils open source de référence.
Ressources & Outils de l'auteur
Articles connexes
CVE-2026-20184 : faille critique SSO Cisco Webex corrigée
CVE-2026-20184 (CVSS 9.8) : faille critique SSO Cisco Webex permettant d'usurper n'importe quel utilisateur. Action requise pour les clients en SSO.
PHANTOMPULSE : Obsidian détourné contre finance et crypto
Elastic Security Labs dévoile la campagne REF6598 qui détourne Obsidian pour déployer le RAT PHANTOMPULSE chez les professionnels finance et crypto.
Claude Opus 4.7 : Anthropic officialise son modèle phare
Anthropic officialise Claude Opus 4.7 ce 16 avril 2026. Résolution visuelle triplée, mode xhigh et task budgets agentiques : ce que la mise à jour change.
Commentaires (1)
Laisser un commentaire