Le malware SparkCat refait surface sur l'App Store et Google Play, utilisant l'OCR pour voler les phrases de récupération de portefeuilles crypto.
En bref
- Une nouvelle variante du malware SparkCat a été découverte sur l'App Store iOS et Google Play, ciblant les portefeuilles crypto
- Le malware utilise l'OCR pour scanner les photos à la recherche de phrases de récupération de wallets
- Les applications infectées se faisaient passer pour des messageries et services de livraison légitimes
Ce qui s'est passé
Les chercheurs de Kaspersky ont identifié en avril 2026 une nouvelle variante du trojan SparkCat dissimulée dans des applications disponibles sur l'App Store d'Apple et le Google Play Store. Deux applications infectées ont été repérées sur la boutique Apple et une sur celle de Google, ciblant principalement les utilisateurs de cryptomonnaies en Asie, selon The Hacker News.
Le malware se cache dans des applications d'apparence anodine — messageries d'entreprise et services de livraison alimentaire — tout en scannant silencieusement les galeries photo des victimes. Il utilise la reconnaissance optique de caractères pour détecter les phrases mnémoniques de récupération de portefeuilles crypto capturées en screenshot par les utilisateurs. La variante iOS scanne les phrases en anglais, élargissant potentiellement le bassin de victimes au-delà de l'Asie.
Les applications malveillantes identifiées par Kaspersky incluent 币coin sur l'App Store et SOEX sur Google Play, toutes deux retirées depuis. Cette version améliorée de SparkCat intègre plusieurs couches d'obfuscation par rapport aux itérations précédentes, notamment la virtualisation de code et l'utilisation de langages de programmation cross-platform pour contourner les analyses statiques, d'après l'analyse de Dark Reading.
Pourquoi c'est important
Cette découverte est particulièrement préoccupante car elle démontre que les processus de validation des stores officiels, y compris celui d'Apple réputé plus strict, restent contournables par des malwares sophistiqués. SparkCat avait déjà été découvert en février 2025 sur les deux plateformes, ce qui signifie que les attaquants ont eu plus d'un an pour perfectionner leurs techniques d'évasion.
Le vecteur d'attaque est redoutablement efficace : de nombreux utilisateurs de cryptomonnaies prennent des captures d'écran de leur phrase de récupération par commodité, sans réaliser que cette pratique les expose à ce type d'exfiltration. L'évolution vers des techniques d'obfuscation avancées comme la virtualisation de code rend la détection par les antivirus mobiles classiques nettement plus difficile.
Ce qu'il faut retenir
- Ne jamais stocker de phrases de récupération crypto sous forme de photo ou screenshot sur un appareil mobile
- Vérifier régulièrement les permissions des applications installées, en particulier l'accès à la galerie photo
- Privilégier un gestionnaire de mots de passe chiffré ou un support physique hors ligne pour les seed phrases
Comment SparkCat parvient-il à voler les cryptomonnaies ?
SparkCat utilise la technologie OCR intégrée aux appareils mobiles pour scanner automatiquement toutes les images de la galerie photo. Il recherche des motifs correspondant à des phrases mnémoniques de récupération de portefeuilles crypto, généralement composées de 12 ou 24 mots. Une fois détectées, ces phrases sont exfiltrées vers les serveurs des attaquants, qui peuvent alors vider le portefeuille associé.
Besoin d'un accompagnement expert ?
Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.
Prendre contactÀ propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est consultant senior en cybersécurité offensive et intelligence artificielle, avec plus de 20 ans d'expérience sur des missions à haute criticité. Il dirige Ayi NEDJIMI Consultants, cabinet spécialisé dans le pentest d'infrastructures complexes, l'audit de sécurité et le développement de solutions IA sur mesure.
Ses interventions couvrent l'audit Active Directory et la compromission de domaines, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares, le forensics numérique et l'intégration d'IA générative (RAG, agents LLM, fine-tuning). Il accompagne des organisations de toutes tailles — des PME aux grands groupes du CAC 40 — dans leur stratégie de sécurisation.
Contributeur actif à la communauté cybersécurité, il publie régulièrement des analyses techniques, des guides méthodologiques et des outils open source. Ses travaux font référence dans les domaines du pentest AD, de la conformité (NIS2, DORA, RGPD) et de la sécurité des systèmes industriels (OT/ICS).
Ressources & Outils de l'auteur
Articles connexes
Hims & Hers : ShinyHunters vole des millions de tickets Zendesk
ShinyHunters a compromis l'instance Zendesk de Hims & Hers via un compte Okta SSO détourné, exfiltrant des millions de tickets contenant des données personnelles de clients.
Qilin revendique le vol de données du parti allemand Die Linke
Le ransomware Qilin revendique le vol de données du parti allemand Die Linke. Données internes et personnelles des employés exfiltrées après une intrusion le 26 mars.
Interlock exploite un zero-day Cisco FMC CVSS 10 depuis janvier
Le ransomware Interlock exploite CVE-2026-20131 (CVSS 10.0) dans Cisco FMC comme zero-day depuis janvier 2026. Correctif disponible, patching urgent requis.
Commentaires (1)
Laisser un commentaire