Des chercheurs en cybersécurité ont identifié une nouvelle variante du malware **SparkCat** ciblant les utilisateurs **Android** et **iOS** via les magasins d'applications officiels. Le malware se dissimule dans des applications apparemment inoffensives comme des messageries d'entreprise et des services de livraison de nourriture. ### SparkCat : Un rappel Le malware **SparkCat** scanne silencieusement les galeries photo des victimes à la recherche de phrases de récupération de portefeuille de cryptomonnaies. **Kaspersky** rapporte avoir trouvé deux applications infectées sur l'**App Store** et une sur le **Google Play Store**, ciblant principalement les utilisateurs de cryptomonnaies en Asie. La variante **iOS** recherche des phrases mnémoniques en anglais, affectant potentiellement un plus large éventail d'utilisateurs, quelle que soit leur région. ### Techniques d'obfuscation améliorées La version **Android** mise à jour de **SparkCat** intègre plusieurs couches d'obfuscation pour échapper à la détection. Celles-ci incluent la virtualisation de code et des langages de programmation multiplateformes. La version **Android** cible spécifiquement les mots-clés japonais, coréens et chinois, indiquant un fort accent sur les utilisateurs asiatiques. ### OCR et exfiltration de données Premièrement documenté par **Kaspersky** en février 2025, **SparkCat** utilise la reconnaissance optique de caractères (OCR) pour extraire les images contenant des phrases de récupération de portefeuille. Ces données sont ensuite exfiltrées vers un serveur contrôlé par l'attaquant. Les dernières améliorations apportées à **SparkCat** démontrent l'évolution active et la sophistication technique des acteurs de la menace derrière cette campagne. **Kaspersky** attribue l'activité malveillante à un opérateur russophone. ### Analyse d'expert « La variante mise à jour de SparkCat demande l'accès pour visualiser les photos dans la galerie du smartphone d'un utilisateur dans certains scénarios – tout comme la toute première version du cheval de Troie », a déclaré Sergey Puzan, chercheur chez **Kaspersky**. « Il analyse le texte dans les images stockées à l'aide d'un module de reconnaissance optique de caractères. » « Si le voleur trouve des mots-clés pertinents, il envoie l'image aux attaquants. Compte tenu des similitudes entre l'échantillon actuel et le précédent, nous pensons que les développeurs de la nouvelle version du malware sont les mêmes. Cette campagne souligne à nouveau l'importance d'utiliser des solutions de sécurité pour smartphones afin de rester protégé contre un large éventail de cybermenaces. »