Selon un rapport détaillé de Kaspersky, une nouvelle campagne de logiciels espions nommée SparkKitty a été découverte, ciblant les utilisateurs de cryptomonnaies. Ce malware, lié à la campagne précédente SparkCat, vise à voler des photos des galeries des appareils Android et iOS, notamment celles contenant des phrases de récupération pour portefeuilles crypto.

Les applications infectées se trouvent aussi bien sur des sources non officielles que sur les App Store et Google Play. Sur iOS, le malware se cache sous forme de frameworks malveillants, tandis que sur Android, il se présente sous forme de modules Xposed malveillants. Les chercheurs ont découvert que le malware utilise l’OCR pour sélectionner les images d’intérêt.

La campagne a été active depuis au moins février 2024 et a été découverte lors de la surveillance de liens suspects distribuant des applications modifiées de TikTok. Ces applications contiennent du code malveillant qui exfiltre des images vers des serveurs de commande et de contrôle (C2).

Ce rapport technique met en lumière les méthodes de distribution et les techniques d’exfiltration utilisées par SparkKitty, soulignant l’importance de la vigilance face aux applications mobiles. L’article vise à informer les utilisateurs et les professionnels de la cybersécurité des nouvelles menaces pesant sur les appareils mobiles.

🧠 TTP et IOC détecté

TTP

[“T1407: Application Layer Protocol - Utilisation de serveurs de commande et de contrôle (C2) pour l’exfiltration”, “T1411: Data from Local System - Vol de photos des galeries d’appareils”, “T1412: Input Capture - Utilisation de l’OCR pour identifier des informations sensibles”, ‘T1476: Deliver Malicious App via App Store - Distribution via App Store et Google Play’, ‘T1477: Deliver Malicious App via Other Means - Distribution via sources non officielles’, ‘T1406: Obfuscated Files or Information - Malware caché sous forme de frameworks et modules Xposed’]

IOC

[‘Applications modifiées de TikTok (via lt.laoqianf15[.]top, hxxps://lt.laoqianf14[.]top/KJnn, hxxps://lt.laoqianf15[.]top/KJnn, hxxps://lt.laoqianf51[.]top/KJnn, hxxps://yjhjymfjnj.wyxbmh[.]cn/2kzos8?a45dd02ac=d4f42319a78b6605cabb5696bacb4677 hxxps://xt.xinqianf38[.]top/RnZr)’, ‘Serveurs de commande et de contrôle (C2) - 23.249.28[.]88, 120.79.8[.]107, 23.249.28[.]200, 47.119.171[.]161, api.fxsdk.com’]

🔗 Source originale : https://securelist.com/sparkkitty-ios-android-malware/116793/