SparkCat, un malware astucieux sur iOS qui utilise l'OCR sur des phrases clef

Bel exemple de créativité pour ce malware découvert par Kaspersky au sein d'apps iOS. Il utilise une fonction d'OCR développée par Google pour repérer certains contenus sensibles et les transmettre à des serveurs tiers.

Ce malware avait été précédemment croisé par la société ESET à l'intérieur d'applications Android et Windows. Fin 2024, sa présence a été confirmée pour la première fois au sein d'apps iOS d'apparence inoffensive. Son surnom, « SparkCat » découle du nom de la campagne de piratage conduite par ce composant logiciel niché au cœur des apps.

Son but est simple et la méthode est habile. Ce malware utilise une librairie de Google — ML Kit — qui contient plusieurs ressources pour identifier des contenus dans une image (code barre, objet, visage, texte, posture d'un sujet, etc). Cette trousse à outils est mise à profit pour analyser les images dans la bibliothèque photos de l'utilisateur — après que l'app a obtenu l'autorisation d'y accéder via la demande standard d'iOS.

Le malware s'intéresse aux captures d'écran car il est entrainé à détecter les phrases de récupération utilisées pour les portefeuilles de cryptomonnaies. Il peut en extraire le texte qu'il transmettra vers un serveur. Sa présence est a priori difficile à déceler et son fonctionnement ne diffère pas d'autres comportements classiques.

Kaspersky fait remonter à mars 2024 la mise en service de la version iOS de SparkCat. Ce malware a été trouvé dans une poignée d'apps gratuites aux fonctions variées mais grand public, comme la livraison de plats ou des fonctions d'IA.

Est-ce que leurs auteurs ont placé ce malware dans ces apps ou l'a-t-il été par le truchement d'autres acteurs qui fournissent des composants logiciels ou qui sont intervenus dans le développement ? Kaspersky n'a pas de réponse.

Parmi ces logiciels, certains sont tout à fait légitimes (tel ComeCome, cité plus haut et toujours en ligne sur Google Play), d'autres semblent n'exister que pour propager cet intrus. À la suite de la publication de cette découverte, Apple a retiré les apps identifiées sur sa boutique.