Des applications distribuées sur l’App Store d’Apple et le Play Store de Google dissimulent un code malveillant capable de voler des cryptomonnaies, a révélé Kaspersky, une entreprise spécialisée dans la cybersécurité. Cela marque ce que le groupe considère comme le premier cas connu d’applications infectées par un malware utilisant la technologie OCR (reconnaissance optique de caractères) pour extraire des informations textuelles à partir de captures d’écran.

App Store Logo

SparkCat, un malware qui touche les applications iOS et Android

Kaspersky a identifié ce code malveillant, qu’il nomme SparkCat, fin 2024, bien que les frameworks associés semblent avoir été développés dès mars de la même année. Sur iOS et certaines versions d’Android, le malware s’active lorsque l’utilisateur tente d’accéder à l’assistance par messagerie au sein de l’application infectée, sollicitant alors l’autorisation d’accéder à la galerie de photos. Une fois cette permission accordée, le malware utilise la technologie OCR de Google pour analyser les images à la recherche de captures d’écran contenant des mots de passe ou des phrases de récupération de portefeuilles liés aux cryptos. Les informations extraites sont ensuite envoyées aux attaquants, qui peuvent les exploiter pour accéder aux portefeuilles et voler les cryptomonnaies.

Kaspersky n’a pas pu confirmer avec certitude si cette infection est une action délibérée des développeurs ou s’il y a une autre raison. Des développeurs ont peut-être été piégés en utilisant certains éléments dans leurs applications.

Parmi les applications suspectes, on trouve WeTink et AnyGPT, des applis de conversations d’intelligence artificielle qui sont toujours disponibles sur l’App Store, ainsi que ComeCome, une application de livraison de nourriture.

Ni Apple ni Google n’ont commenté publiquement cette affaire pour le moment.