Un malware de lecture de capture d’écran pirate la sécurité de l’iPhone pour la première fois
Dans le domaine des smartphones, l'écosystème d'Apple est considéré comme le plus sûr . Des analyses indépendantes réalisées par des experts en sécurité l’ont également prouvé à plusieurs reprises au fil des années. Mais les garde-fous d’Apple ne sont pas impénétrables. Au contraire, il semble que de mauvais acteurs aient réussi une nouvelle percée inquiétante.
Selon une analyse de Kaspersky , un logiciel malveillant doté de capacités de reconnaissance optique de caractères (OCR) a été repéré pour la première fois sur l'App Store. Au lieu de voler des fichiers stockés sur un téléphone, le malware analysait les captures d'écran stockées localement, analysait le contenu du texte et transmettait les informations nécessaires aux serveurs.
L'opération de distribution de logiciels malveillants, nommée « SparkCat », ciblait les applications provenant de référentiels officiels – le Play Store de Google et l'App Store d'Apple – et de sources tierces. Les applications infectées ont accumulé environ un quart de million de téléchargements sur les deux plates-formes.
Il est intéressant de noter que le malware s'appuie sur la bibliothèque ML Kit de Google, une boîte à outils qui permet aux développeurs de déployer des capacités d'apprentissage automatique pour un traitement rapide et hors ligne des données dans les applications. Ce système ML Kit est ce qui a finalement permis au modèle Google OCR de numériser les photos stockées sur un iPhone et de reconnaître le texte contenant des informations sensibles.
Mais il semble que le malware n’était pas seulement capable de voler des codes de récupération liés à la cryptographie . "Il convient de noter que le malware est suffisamment flexible pour voler non seulement ces phrases, mais également d'autres données sensibles de la galerie, telles que des messages ou des mots de passe qui auraient pu être capturés dans des captures d'écran", indique le rapport de Kaspersky.
Parmi les applications iPhone ciblées figurait ComeCome, qui semble être une application chinoise de livraison de nourriture à première vue, mais qui était chargée d'un logiciel malveillant de lecture d'écran. "Il s'agit du premier cas connu d'application infectée par un logiciel espion OCR découvert sur le marché officiel des applications d'Apple", note l'analyse de Kaspersky.
Il n’est cependant pas clair si les développeurs de ces applications problématiques étaient impliqués dans l’intégration du malware ou s’il s’agissait d’une attaque de la chaîne d’approvisionnement. Quelle que soit l'origine, l'ensemble du pipeline était assez discret car les applications semblaient légitimes et répondaient à des tâches telles que la messagerie, l'apprentissage de l'IA ou la livraison de nourriture. Notamment, le malware multiplateforme était également capable de masquer sa présence, ce qui le rendait plus difficile à détecter.
L'objectif principal de cette campagne était d'extraire des phrases de récupération de portefeuille cryptographique, qui peuvent permettre à un acteur malveillant de s'emparer du portefeuille cryptographique d'une personne et de s'en tirer avec ses actifs. Les zones cibles semblent être l’Europe et l’Asie, mais certaines des applications les plus recherchées semblent également fonctionner en Afrique et dans d’autres régions.