Une campagne de logiciels espions particulièrement élaborée, baptisée SparkKitty a infecté un nombre croissant d'utilisateurs d'Android et d'iOS. Détecté pour la première fois l'année dernière dans le cadre de la campagne SparkCat précédemment identifiée, SparkKitty s'est depuis transformé en une opération de surveillance à grande échelle.
Le logiciel malveillant SparkKitty est distribué par le biais d'applications sur des sources officielles et non officielles depuis au moins février 2024, misant sur la confiance des utilisateurs dans les magasins d'applications (ou des emplacements non officiels infâmes) pour voler des médias privés. SparkKitty utilise toute une série de techniques pour infecter les appareils, et il est conçu pour s'adapter sous le radar, ce qui le rend difficile à repérer et à éradiquer.
Bien qu'il ne cible pas directement les portefeuilles de crypto-monnaie, les chercheurs pensent qu'il vise les captures d'écran de graines de récupération de portefeuilles. L'inclusion de boutiques d'applications réservées aux cryptomonnaies dans les applications Trojanisées suggère une motivation financière pour la campagne SparkKitty. Les objectifs de SparkCat étaient plus clairs, puisqu'il ciblait les portefeuilles de crypto-monnaies en particulier, mais SparkKitty brouille ses intentions en même temps que ses objectifs d'expansion.
Les chercheurs ont relevé quelques facteurs qui relient le logiciel malveillant à la fraude en crypto-monnaie et à l'ancienne infrastructure de SparkCat. Ils pensent également que les utilisateurs qui choisissent de sauvegarder leur seed phrase sous forme d'image ne sont pas en sécurité, car ces images sont désormais activement traquées par les logiciels malveillants.
Comment fonctionne SparkKitty
La variante iOS est livrée sous la forme d'une bibliothèque déguisée, agissant comme un cadre iOS populaire, comme AFNetworking ou Alamofire. Certaines versions iOS de SparkKitty vont jusqu'à se faire passer pour une variante obfusquée des bibliothèques légitimes d'Apple, comme libswiftDarwin.dylib, afin d'éviter de déclencher la détection basée sur les signatures.
Le logiciel malveillant utilise un profil de provisionnement Apple Enterprise au lieu des méthodes d'installation d'applications iOS standard et des certificats associés. Les victimes n'ont même pas besoin de se rendre sur l'App Store pour installer l'application affectée par le logiciel malveillant, grâce aux profils de provisionnement Apple Enterprise.
SparkKitty a été observé en train d'utiliser les outils d'installation d'applications d'Apple destinés à l'usage interne des entreprises pour contourner la surveillance de l'App Store. Les développeurs du marché gris et les auteurs de logiciels malveillants abusent souvent du provisionnement d'entreprise. L'utilisation abusive de ces profils de provisionnement sur iOS montre à quel point l'écosystème de distribution des logiciels malveillants est devenu alambiqué et étendu.
Sur iOS, une application TikTok affectée demande un accès à la galerie chaque fois que l'utilisateur lance l'application. La variante iOS malveillante de TikTok télécharge toutes les images de la galerie vers des serveurs contrôlés par l'attaquant - et vous ne pouvez qu'imaginer le butin possible que cet accès permet.
SparkKitty, un logiciel malveillant pour iOS, utilise le crochet Objective-C +load pour exécuter son code malveillant lors du démarrage du programme. Si l'utilisateur a accordé l'autorisation sur iOS, le logiciel malveillant observe le dossier de la galerie à la recherche de modifications. Toutes les nouvelles images qui n'ont pas été téléchargées auparavant sont exfiltrées de l'appareil. C'est cela la détermination.
Aujourd'hui, sur Android, SparkKitty a été découvert dans des implémentations Java et Kotlin, la version Kotlin étant un module Xposed obfusqué.
SparkKitty est déclenché au démarrage de l'application ou lorsque les utilisateurs accèdent à certains écrans, et l'application Android analyse également un fichier distant codé en base64 et chiffré en AES-256 pour obtenir le serveur C2. Elle télécharge également des photos avec leurs métadonnées et d'autres informations d'identification de l'appareil. Certaines implémentations Android intègrent même le ML Kit OCR pour détecter et télécharger uniquement les fichiers images contenant du texte.
Comment SparkKitty a été découvert
Les faux portails de téléchargement, les magasins tiers comme TikToki Mall et même les clones TikTok troyens sont autant de points de distribution possibles pour ces infections. Les chercheurs ont découvert SparkKitty après avoir étudié les liens derrière certains clones TikTok infectés trouvés sur l'App Store officiel.
SOEX, une application de messagerie infectée dotée d'une fonction d'échange, a été téléchargée plus de 10 000 fois à partir du Play Store. Par ailleurs, des clones malveillants de TikTok se sont tournés vers de fausses boutiques de crypto-monnaies et des contenus pour adultes afin d'appâter les utilisateurs.
Les applications liées à SparkKitty sur iOS comprennent également des jeux d'argent en chinois et des mods TikTok. Certaines de ces applications infectées ont pu atteindre des dizaines de milliers de téléchargements avant d'être supprimées de Google Play. La présence de magasins officiels témoigne du savoir-faire technique et de la ténacité croissants des acteurs de la menace mobile - et leur exécution est obstinée et d'une efficacité frappante.
Ce n'est qu'une des dernières menaces mobiles qui devrait inciter à mettre davantage l'accent sur la diligence en matière d'appareils mobiles.
Commentaires
SparkKitty : Une menace silencieuse dans les applications "de confiance
Table des matières
Une campagne de logiciels espions particulièrement élaborée, baptisée SparkKitty a infecté un nombre croissant d'utilisateurs d'Android et d'iOS. Détecté pour la première fois l'année dernière dans le cadre de la campagne SparkCat précédemment identifiée, SparkKitty s'est depuis transformé en une opération de surveillance à grande échelle.
Le logiciel malveillant SparkKitty est distribué par le biais d'applications sur des sources officielles et non officielles depuis au moins février 2024, misant sur la confiance des utilisateurs dans les magasins d'applications (ou des emplacements non officiels infâmes) pour voler des médias privés. SparkKitty utilise toute une série de techniques pour infecter les appareils, et il est conçu pour s'adapter sous le radar, ce qui le rend difficile à repérer et à éradiquer.
Bien qu'il ne cible pas directement les portefeuilles de crypto-monnaie, les chercheurs pensent qu'il vise les captures d'écran de graines de récupération de portefeuilles. L'inclusion de boutiques d'applications réservées aux cryptomonnaies dans les applications Trojanisées suggère une motivation financière pour la campagne SparkKitty. Les objectifs de SparkCat étaient plus clairs, puisqu'il ciblait les portefeuilles de crypto-monnaies en particulier, mais SparkKitty brouille ses intentions en même temps que ses objectifs d'expansion.
Les chercheurs ont relevé quelques facteurs qui relient le logiciel malveillant à la fraude en crypto-monnaie et à l'ancienne infrastructure de SparkCat. Ils pensent également que les utilisateurs qui choisissent de sauvegarder leur seed phrase sous forme d'image ne sont pas en sécurité, car ces images sont désormais activement traquées par les logiciels malveillants.
Comment fonctionne SparkKitty
La variante iOS est livrée sous la forme d'une bibliothèque déguisée, agissant comme un cadre iOS populaire, comme AFNetworking ou Alamofire. Certaines versions iOS de SparkKitty vont jusqu'à se faire passer pour une variante obfusquée des bibliothèques légitimes d'Apple, comme libswiftDarwin.dylib, afin d'éviter de déclencher la détection basée sur les signatures.
Le logiciel malveillant utilise un profil de provisionnement Apple Enterprise au lieu des méthodes d'installation d'applications iOS standard et des certificats associés. Les victimes n'ont même pas besoin de se rendre sur l'App Store pour installer l'application affectée par le logiciel malveillant, grâce aux profils de provisionnement Apple Enterprise.
SparkKitty a été observé en train d'utiliser les outils d'installation d'applications d'Apple destinés à l'usage interne des entreprises pour contourner la surveillance de l'App Store. Les développeurs du marché gris et les auteurs de logiciels malveillants abusent souvent du provisionnement d'entreprise. L'utilisation abusive de ces profils de provisionnement sur iOS montre à quel point l'écosystème de distribution des logiciels malveillants est devenu alambiqué et étendu.
Sur iOS, une application TikTok affectée demande un accès à la galerie chaque fois que l'utilisateur lance l'application. La variante iOS malveillante de TikTok télécharge toutes les images de la galerie vers des serveurs contrôlés par l'attaquant - et vous ne pouvez qu'imaginer le butin possible que cet accès permet.
SparkKitty, un logiciel malveillant pour iOS, utilise le crochet Objective-C +load pour exécuter son code malveillant lors du démarrage du programme. Si l'utilisateur a accordé l'autorisation sur iOS, le logiciel malveillant observe le dossier de la galerie à la recherche de modifications. Toutes les nouvelles images qui n'ont pas été téléchargées auparavant sont exfiltrées de l'appareil. C'est cela la détermination.
Aujourd'hui, sur Android, SparkKitty a été découvert dans des implémentations Java et Kotlin, la version Kotlin étant un module Xposed obfusqué.
SparkKitty est déclenché au démarrage de l'application ou lorsque les utilisateurs accèdent à certains écrans, et l'application Android analyse également un fichier distant codé en base64 et chiffré en AES-256 pour obtenir le serveur C2. Elle télécharge également des photos avec leurs métadonnées et d'autres informations d'identification de l'appareil. Certaines implémentations Android intègrent même le ML Kit OCR pour détecter et télécharger uniquement les fichiers images contenant du texte.
Comment SparkKitty a été découvert
Les faux portails de téléchargement, les magasins tiers comme TikToki Mall et même les clones TikTok troyens sont autant de points de distribution possibles pour ces infections. Les chercheurs ont découvert SparkKitty après avoir étudié les liens derrière certains clones TikTok infectés trouvés sur l'App Store officiel.
SOEX, une application de messagerie infectée dotée d'une fonction d'échange, a été téléchargée plus de 10 000 fois à partir du Play Store. Par ailleurs, des clones malveillants de TikTok se sont tournés vers de fausses boutiques de crypto-monnaies et des contenus pour adultes afin d'appâter les utilisateurs.
Les applications liées à SparkKitty sur iOS comprennent également des jeux d'argent en chinois et des mods TikTok. Certaines de ces applications infectées ont pu atteindre des dizaines de milliers de téléchargements avant d'être supprimées de Google Play. La présence de magasins officiels témoigne du savoir-faire technique et de la ténacité croissants des acteurs de la menace mobile - et leur exécution est obstinée et d'une efficacité frappante.
Ce n'est qu'une des dernières menaces mobiles qui devrait inciter à mettre davantage l'accent sur la diligence en matière d'appareils mobiles.
Protégez votre monde numérique
Rédigé par
Jon Samsel
Head of Cybersecurity Business and Global Marketing
Partager ces informations sur la cybersécurité
Autres informations sur la cybersécurité
Cybersecurity Threat Roundup #22 : Copybara, Crocodilus, Lucid, etc.
La faille de WestJet montre pourquoi les temps d'arrêt tuent les entreprises
Le manuel de jeu numérique de Darcula : L'escroquerie mondiale qui redéfinit les menaces mobiles
Pocket Wars : Les défenses mobiles soumises à un siège asymétrique