Le magasin officiel devient un terrain fertile pour les "chevaux de Troie" ? Enquête sur SparkKitty : une chasse ciblée contre les phrases mnémoniques des albums.
Analyse de l'attaque : l'évolution "invisible" de SparkCat à SparkKitty
Le 23 juin 2025, l'équipe de recherche sur les menaces de Kaspersky a révélé pour la première fois SparkKitty, qualifiant cela de "malware de vol d'images hautement dissimulé". Ce virus est issu de la même source que le malware SparkCat découvert au début de 2024, partageant une structure de code et des méthodes d'attaque similaires, mais avec une technologie plus avancée. Les analystes de Kaspersky ont indiqué que les premières activités de SparkKitty remontent à février 2024, ciblant principalement l'Asie du Sud-Est et la Chine, en s'infiltrant dans les appareils des utilisateurs en se faisant passer pour des applications de cryptomonnaie, de jeux d'argent et de communication.
L'objectif principal de SparkKitty est de voler toutes les images dans l'album, en se concentrant particulièrement sur les captures d'écran des phrases mnémotechniques (seed phrases) des portefeuilles de cryptomonnaie. Les phrases mnémotechniques sont le seul moyen de récupérer un portefeuille de cryptomonnaie, et une fois divulguées, les attaquants peuvent contrôler directement le portefeuille de l'utilisateur et transférer tous les actifs. Par rapport à SparkCat, la technologie OCR (reconnaissance optique de caractères) de SparkKitty est plus efficace, certaines variantes utilisent Google ML Kit OCR, téléchargeant uniquement des images contenant du texte, réduisant ainsi la charge sur le serveur et améliorant l'efficacité du vol. De plus, le virus collecte également des identifiants de dispositifs, des cookies de navigateur et d'autres données sensibles, augmentant les risques de vol d'identité et d'intrusion de compte.
Briser le jardin clos : comment la boutique officielle est-elle devenue le plus grand vecteur d'attaque ?
Ce qui est le plus alarmant avec SparkKitty, c'est qu'il a réussi à pénétrer les canaux de distribution d'applications considérés comme les plus sûrs - l'Apple App Store et Google Play.
Le mécanisme de révision des magasins d'applications officiels semble impuissant dans cette guerre de siège. Les attaquants utilisent la stratégie du "cheval de Troie" pour dissimuler du code malveillant dans des applications apparemment inoffensives :
La défaillance de l'App Store : une application nommée "币coin" a réussi à être mise en ligne sous le déguisement d'une interface de suivi des prix des cryptomonnaies simple et épurée. Elle exploite la confiance des utilisateurs envers les outils de suivi des prix pour les inciter à accorder des autorisations d'accès à leurs albums.
Zone de catastrophe de Google Play : une application de communication appelée "SOEX" prétend offrir des fonctionnalités de "chat et de transactions cryptés", avec plus de 10 000 téléchargements cumulés. De plus, les applications de jeux de hasard et pour adultes ont également été confirmées comme des vecteurs de propagation importants. Selon les statistiques, depuis l'époque de SparkCat jusqu'à présent, le nombre total de téléchargements d'applications malveillantes connexes sur Google Play a dépassé 242 000.
En plus des canaux officiels, les attaquants ont également recours à une matrice de diffusion multidimensionnelle :
Distribution d'APK non officielle : distribution de paquets d'installation APK déguisés en versions crackées de TikTok, jeux de chaînes populaires ou applications de jeux d'argent via des publicités YouTube, des groupes Telegram et des sites de téléchargement tiers.
Abus des certificats d'entreprise iOS : exploitation du programme de développeurs d'entreprise d'Apple pour contourner l'examen strict de l'App Store et installer des applications directement sur les appareils des utilisateurs via un lien web.
Lors de l'installation et de l'exécution de ces applications, les demandes de permissions (comme l'accès au album) sont souvent présentées comme des besoins fonctionnels essentiels de l'application, ce qui amène les utilisateurs à accorder des autorisations sans s'en rendre compte, ouvrant ainsi la porte aux intrusions.
Des millions de victimes, des actifs réduits à zéro : une "attaque éclair" "localisée" ciblant le marché asiatique.
Les marchés de l'Asie du Sud-Est et de la Chine sont devenus les principaux objectifs de SparkKitty. Ce n'est pas un hasard, mais une stratégie de "localisation" soigneusement planifiée :
Profil utilisateur précis : ces régions sont des marchés hautement actifs pour les applications de cryptomonnaies et de paris mobiles, avec une grande base d'utilisateurs et une conscience de la sécurité relativement faible.
Appâts culturels et linguistiques : les noms d'application (comme "coin de monnaie"), le design de l'interface et le contenu promotionnel utilisent un langage localisé, intégrant même des éléments de jeux de hasard populaires locaux, ce qui réduit considérablement la méfiance des utilisateurs.
Bien que l'attaque soit concentrée en Asie, Kaspersky met en garde que SparkKitty est techniquement sans frontières, son code pouvant être facilement modifié pour attaquer des utilisateurs dans n'importe quelle région du monde. Sur X (anciennement Twitter), des experts en sécurité et des KOL de la crypto ont lancé une grande alerte, appelant les utilisateurs à faire un auto-contrôle, et le sentiment de panique de l'incident se propage dans la communauté crypto mondiale. Ses dangers sont multiples :
Les actifs peuvent s'évaporer instantanément : la phrase mnémotechnique est la seule clé pour récupérer le portefeuille. Une fois divulguée, un attaquant peut transférer tous les actifs cryptographiques de l'utilisateur en quelques minutes, et il est presque impossible de les récupérer.
La vie privée complètement exposée : des informations privées massives telles que des cartes d'identité, des passeports, des cartes bancaires, des photos de famille peuvent être stockées dans des albums. Une fois exploitées par des activités criminelles, les conséquences peuvent être désastreuses.
Comptes en chaîne : Des cookies et des certificats volés peuvent entraîner la prise de contrôle des comptes de médias sociaux, de messagerie électronique, voire de banques des utilisateurs.
Réflexion : Quand une capture d'écran de phrase mnémotechnique devient le "talon d'Achille"
La plateforme est en action. Google a retiré les applications concernées, et Apple a également interdit près de cent comptes développeurs à cause de l'incident SparkCat. Mais cela ressemble davantage à un jeu sans fin de "tapir des taupes". Tant que les attaquants peuvent continuer à trouver des failles dans le mécanisme de contrôle, de nouveaux "chevaux de Troie" continueront d'apparaître.
L'incident SparkKitty a sonné l'alarme pour toute l'industrie, révélant plusieurs dilemmes profonds :
La crise de confiance des magasins d'applications : la croyance des utilisateurs en la "sécurité absolue" des magasins officiels a été brisée. Les plateformes doivent introduire des mécanismes de détection de comportement dynamique plus proactifs et intelligents, au lieu de se fier uniquement à des analyses de code statiques.
Le paradoxe éternel entre l'habitude des utilisateurs et la sécurité : pour plus de commodité, les utilisateurs ont tendance à sauvegarder les données les plus importantes de la manière la plus simple - en prenant des captures d'écran. Ce mode de comportement est précisément le maillon le plus faible du système de sécurité.
Le dilemme de la "dernière ligne droite" de la sécurité cryptographique : peu importe à quel point les portefeuilles matériels sont sécurisés ou à quel point les protocoles DeFi sont décentralisés, tant que l'utilisateur commet une erreur dans la gestion des mots de passe de cette "dernière ligne droite", toutes les défenses seront vaines.
Comment se protéger ? Mieux vaut prévenir que guérir.
Éliminer les mauvaises habitudes, sauvegarde physique : abandonner complètement l'habitude d'utiliser des albums photo, des mémos ou tout service cloud connecté pour stocker les phrases mnémotechniques. Retourner à la méthode la plus primitive et la plus sûre : faire une sauvegarde physique manuscrite et la conserver à des endroits sécurisés différents.
Principe du moindre privilège : protégez les permissions de votre téléphone comme un avare. Toute demande d'accès aux albums, aux contacts ou à la localisation qui n'est pas nécessaire doit être refusée.
Établir un environnement de "chambre propre" : envisager d'utiliser un ancien téléphone portable dédié, isolé du réseau, pour gérer les actifs cryptographiques, sans installer d'applications d'origine douteuse.
SparkKitty pourrait être anéanti, mais le prochain "Kitty" est déjà en préparation. Cette attaque nous rappelle que la sécurité dans le monde Web3 n'est pas seulement une guerre de codes et de protocoles, mais plutôt un jeu continu sur la nature humaine, les habitudes et la cognition. Rester vigilant face à une commodité absolue est un cours obligatoire pour chaque citoyen numérique.
Voir l'original
Le contenu est fourni à titre de référence uniquement, il ne s'agit pas d'une sollicitation ou d'une offre. Aucun conseil en investissement, fiscalité ou juridique n'est fourni. Consultez l'Avertissement pour plus de détails sur les risques.
Le magasin officiel devient un terrain fertile pour les "chevaux de Troie" ? Enquête sur SparkKitty : une chasse ciblée contre les phrases mnémoniques des albums.
Analyse de l'attaque : l'évolution "invisible" de SparkCat à SparkKitty
Le 23 juin 2025, l'équipe de recherche sur les menaces de Kaspersky a révélé pour la première fois SparkKitty, qualifiant cela de "malware de vol d'images hautement dissimulé". Ce virus est issu de la même source que le malware SparkCat découvert au début de 2024, partageant une structure de code et des méthodes d'attaque similaires, mais avec une technologie plus avancée. Les analystes de Kaspersky ont indiqué que les premières activités de SparkKitty remontent à février 2024, ciblant principalement l'Asie du Sud-Est et la Chine, en s'infiltrant dans les appareils des utilisateurs en se faisant passer pour des applications de cryptomonnaie, de jeux d'argent et de communication.
L'objectif principal de SparkKitty est de voler toutes les images dans l'album, en se concentrant particulièrement sur les captures d'écran des phrases mnémotechniques (seed phrases) des portefeuilles de cryptomonnaie. Les phrases mnémotechniques sont le seul moyen de récupérer un portefeuille de cryptomonnaie, et une fois divulguées, les attaquants peuvent contrôler directement le portefeuille de l'utilisateur et transférer tous les actifs. Par rapport à SparkCat, la technologie OCR (reconnaissance optique de caractères) de SparkKitty est plus efficace, certaines variantes utilisent Google ML Kit OCR, téléchargeant uniquement des images contenant du texte, réduisant ainsi la charge sur le serveur et améliorant l'efficacité du vol. De plus, le virus collecte également des identifiants de dispositifs, des cookies de navigateur et d'autres données sensibles, augmentant les risques de vol d'identité et d'intrusion de compte.
Briser le jardin clos : comment la boutique officielle est-elle devenue le plus grand vecteur d'attaque ?
Ce qui est le plus alarmant avec SparkKitty, c'est qu'il a réussi à pénétrer les canaux de distribution d'applications considérés comme les plus sûrs - l'Apple App Store et Google Play.
Le mécanisme de révision des magasins d'applications officiels semble impuissant dans cette guerre de siège. Les attaquants utilisent la stratégie du "cheval de Troie" pour dissimuler du code malveillant dans des applications apparemment inoffensives :
La défaillance de l'App Store : une application nommée "币coin" a réussi à être mise en ligne sous le déguisement d'une interface de suivi des prix des cryptomonnaies simple et épurée. Elle exploite la confiance des utilisateurs envers les outils de suivi des prix pour les inciter à accorder des autorisations d'accès à leurs albums.
Zone de catastrophe de Google Play : une application de communication appelée "SOEX" prétend offrir des fonctionnalités de "chat et de transactions cryptés", avec plus de 10 000 téléchargements cumulés. De plus, les applications de jeux de hasard et pour adultes ont également été confirmées comme des vecteurs de propagation importants. Selon les statistiques, depuis l'époque de SparkCat jusqu'à présent, le nombre total de téléchargements d'applications malveillantes connexes sur Google Play a dépassé 242 000.
En plus des canaux officiels, les attaquants ont également recours à une matrice de diffusion multidimensionnelle :
Distribution d'APK non officielle : distribution de paquets d'installation APK déguisés en versions crackées de TikTok, jeux de chaînes populaires ou applications de jeux d'argent via des publicités YouTube, des groupes Telegram et des sites de téléchargement tiers.
Abus des certificats d'entreprise iOS : exploitation du programme de développeurs d'entreprise d'Apple pour contourner l'examen strict de l'App Store et installer des applications directement sur les appareils des utilisateurs via un lien web.
Lors de l'installation et de l'exécution de ces applications, les demandes de permissions (comme l'accès au album) sont souvent présentées comme des besoins fonctionnels essentiels de l'application, ce qui amène les utilisateurs à accorder des autorisations sans s'en rendre compte, ouvrant ainsi la porte aux intrusions.
Des millions de victimes, des actifs réduits à zéro : une "attaque éclair" "localisée" ciblant le marché asiatique.
Les marchés de l'Asie du Sud-Est et de la Chine sont devenus les principaux objectifs de SparkKitty. Ce n'est pas un hasard, mais une stratégie de "localisation" soigneusement planifiée :
Profil utilisateur précis : ces régions sont des marchés hautement actifs pour les applications de cryptomonnaies et de paris mobiles, avec une grande base d'utilisateurs et une conscience de la sécurité relativement faible.
Appâts culturels et linguistiques : les noms d'application (comme "coin de monnaie"), le design de l'interface et le contenu promotionnel utilisent un langage localisé, intégrant même des éléments de jeux de hasard populaires locaux, ce qui réduit considérablement la méfiance des utilisateurs.
Bien que l'attaque soit concentrée en Asie, Kaspersky met en garde que SparkKitty est techniquement sans frontières, son code pouvant être facilement modifié pour attaquer des utilisateurs dans n'importe quelle région du monde. Sur X (anciennement Twitter), des experts en sécurité et des KOL de la crypto ont lancé une grande alerte, appelant les utilisateurs à faire un auto-contrôle, et le sentiment de panique de l'incident se propage dans la communauté crypto mondiale. Ses dangers sont multiples :
Les actifs peuvent s'évaporer instantanément : la phrase mnémotechnique est la seule clé pour récupérer le portefeuille. Une fois divulguée, un attaquant peut transférer tous les actifs cryptographiques de l'utilisateur en quelques minutes, et il est presque impossible de les récupérer.
La vie privée complètement exposée : des informations privées massives telles que des cartes d'identité, des passeports, des cartes bancaires, des photos de famille peuvent être stockées dans des albums. Une fois exploitées par des activités criminelles, les conséquences peuvent être désastreuses.
Comptes en chaîne : Des cookies et des certificats volés peuvent entraîner la prise de contrôle des comptes de médias sociaux, de messagerie électronique, voire de banques des utilisateurs.
Réflexion : Quand une capture d'écran de phrase mnémotechnique devient le "talon d'Achille"
La plateforme est en action. Google a retiré les applications concernées, et Apple a également interdit près de cent comptes développeurs à cause de l'incident SparkCat. Mais cela ressemble davantage à un jeu sans fin de "tapir des taupes". Tant que les attaquants peuvent continuer à trouver des failles dans le mécanisme de contrôle, de nouveaux "chevaux de Troie" continueront d'apparaître.
L'incident SparkKitty a sonné l'alarme pour toute l'industrie, révélant plusieurs dilemmes profonds :
La crise de confiance des magasins d'applications : la croyance des utilisateurs en la "sécurité absolue" des magasins officiels a été brisée. Les plateformes doivent introduire des mécanismes de détection de comportement dynamique plus proactifs et intelligents, au lieu de se fier uniquement à des analyses de code statiques.
Le paradoxe éternel entre l'habitude des utilisateurs et la sécurité : pour plus de commodité, les utilisateurs ont tendance à sauvegarder les données les plus importantes de la manière la plus simple - en prenant des captures d'écran. Ce mode de comportement est précisément le maillon le plus faible du système de sécurité.
Le dilemme de la "dernière ligne droite" de la sécurité cryptographique : peu importe à quel point les portefeuilles matériels sont sécurisés ou à quel point les protocoles DeFi sont décentralisés, tant que l'utilisateur commet une erreur dans la gestion des mots de passe de cette "dernière ligne droite", toutes les défenses seront vaines.
Comment se protéger ? Mieux vaut prévenir que guérir.
Éliminer les mauvaises habitudes, sauvegarde physique : abandonner complètement l'habitude d'utiliser des albums photo, des mémos ou tout service cloud connecté pour stocker les phrases mnémotechniques. Retourner à la méthode la plus primitive et la plus sûre : faire une sauvegarde physique manuscrite et la conserver à des endroits sécurisés différents.
Principe du moindre privilège : protégez les permissions de votre téléphone comme un avare. Toute demande d'accès aux albums, aux contacts ou à la localisation qui n'est pas nécessaire doit être refusée.
Établir un environnement de "chambre propre" : envisager d'utiliser un ancien téléphone portable dédié, isolé du réseau, pour gérer les actifs cryptographiques, sans installer d'applications d'origine douteuse.
SparkKitty pourrait être anéanti, mais le prochain "Kitty" est déjà en préparation. Cette attaque nous rappelle que la sécurité dans le monde Web3 n'est pas seulement une guerre de codes et de protocoles, mais plutôt un jeu continu sur la nature humaine, les habitudes et la cognition. Rester vigilant face à une commodité absolue est un cours obligatoire pour chaque citoyen numérique.