C’est un nom presque attendrissant, mais la réalité qu’il recouvre l’est beaucoup moins. « SparkKitty » , voilà le sobriquet choisi par les chercheurs de Kaspersky pour désigner le tout dernier cheval de Troie mobile capable de dépouiller vos albums photo… et votre portefeuille de cryptomonnaies. Repéré pour la première fois le 23 juin dans un rapport technique détaillé, ce logiciel malveillant aurait commencé à circuler dès février 2024, profitant de failles aussi bien chez Google que chez Apple.
Des applications « respectables » comme cheval de Troie
La méthode, classique mais diablement efficace, repose sur une série d’applications apparemment inoffensives – une messagerie mêlée de trading crypto baptisée SOEX sur Android, téléchargée plus de 10 000 fois et un traqueur de cours crypto répondant au nom de 币coin sur iOS. Toutes deux ont été bannies depuis, mais le mal était fait : au moins plusieurs milliers d’appareils étaient déjà compromis.
Dans une interview accordée à 01net, Sergey Puzan, analyste senior chez Kaspersky, explique que les pirates ont « utilisé de faux sites imitant l’App Store pour pousser des profils développeur permettant d’installer l’application infectée », un contournement que l’on croyait jusqu’ici réservé aux spywares étatiques.
Le pillage de votre pellicule étape par étape
- Demande d’accès aux images – Dès l’installation, l’app exige la permission d’explorer la galerie. Geste anodin pour l’utilisateur, porte ouverte pour l’assaillant.
- Analyse OCR locale – SparkKitty déploie un module de reconnaissance optique qui lit chaque capture d’écran ou photo contenant du texte. Sa proie favorite ? Les seed phrases de 12 ou 24 mots utilisées pour restaurer un portefeuille crypto.
- Exfiltration discrète – Les clichés sont chiffrés puis envoyés vers un serveur de commande. Dans certains cas, seuls les fichiers contenant du texte partent ; dans d’autres, la totalité de la pellicule est siphonnée.
- Ré-analyse permanente – Au moindre ajout de photo, le processus recommence, créant un flux continu de données vers l’attaquant.
Dmitry Kalinin, autre expert interrogé par 01net, insiste : « Les cybercriminels ne se contentent plus de pister les mots de passe ; ils accumulent des clichés personnels susceptibles d’alimenter un futur chantage. ».
Une menace globale qui n’épargne pas l’Hexagone
Jusqu’ici, la campagne semblait viser prioritairement l’Asie du Sud-Est. Mais depuis la mi-juin, les premières téléchargements français de SOEX sont apparus dans les statistiques d’éditeurs de sécurité mobiles. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) confirme avoir reçu « plusieurs signalements » de particuliers ayant constaté la disparition de fonds en USDT ou en Bitcoin à la suite d’une compromission de leur seed phrase. Si le nombre reste modeste pour l’instant, l’Agence redoute « un effet boule de neige » avec les vacances d’été, période propice aux installations d’applications ludiques ou de voyage.
Les géants du numérique sur la sellette
- Google fait valoir que Play Protect « bloque désormais l’exécution de SOEX quelles que soient la version et la source », tout en bannissant le compte développeur responsable.
- Apple, plus discret, se borne à rappeler son programme App Review, tout en indiquant avoir « supprimé l’app incriminée et révoqué les certificats concernés ». Les experts relèvent pourtant que SparkKitty est le deuxième stealer à passer sous les radars de Cupertino en six mois, après SparkCat début 2025.
Pourquoi SparkKitty franchit-il la barrière des boutiques officielles ?
« La détection automatique recherche essentiellement du code suspect. Or, ici, le module malveillant est masqué dans des bibliothèques tierces apparemment légitimes », décrypte Jean-François Beaucamps, consultant indépendant en sécurité mobile.
Le phénomène illustre une faiblesse grandissante : les frameworks d’IA embarqués dans Android et iOS (Core ML, TensorFlow Lite) facilitent autant les apps photo que les malwares OCR. SparkKitty n’en est que l’avant-goût ; d’autres campagnes plus ciblées pourraient émerger d’ici la fin de l’année.
Bons réflexes : cinq gestes à adopter sans attendre
- Désinstallez toute appli suspecte – SOEX, 币coin, clone de TikTok ou jeu de casino inconnu ? Mettez-les à la corbeille.
- Révoquez les permissions photo – Sur iOS, passez par Réglages > Confidentialité > Photos ; sur Android 14, optez pour « Autorisation limitée ».
- Ne capturez jamais votre seed phrase – Conservez-la sur papier ou dans un gestionnaire chiffré.
- Activez un antivirus mobile – Les suites Kaspersky, Malwarebytes ou Bitdefender détectent déjà SparkKitty.
- Mettez à jour sans tarder – Les correctifs sécurité de juin sont disponibles sur iOS 18.7 et Android 14.1.
L’OCR devient l’arme absolue du cybercrime
SparkKitty consacre une tendance amorcée par SparkCat : l’exploitation de l’IA pour extraire de l’information visuelle. En clair, ce que vous photographiez vaut désormais autant qu’un fichier texte. Seed phrase, carte d’identité, QR Code : tout support numérique peut devenir un sésame pour un pirate. La morale ? Cesser de croire que la photo est plus sûre que le papier ; l’histoire récente prouve le contraire.
Vers un « Digital App Store Act » européen ?
À Bruxelles, la DG Connect planche sur un projet de règlement visant à obliger chaque éditeur à détailler les bibliothèques tierces employées. Les amendes pourraient grimper à 6 % du chiffre d’affaires mondial en cas de récidive. Une première lecture au Parlement est attendue à l’automne. En attendant, la meilleure défense reste la vigilance de l’utilisateur -> et un soupçon de méfiance envers les applis « trop belles pour être vraies ».
Verdict du Geek : l’ère du « selfie toxique »
Notre smartphone est devenu le coffre-fort de nos souvenirs – et parfois de nos clés numériques. SparkKitty nous rappelle qu’un simple clic sur « Autoriser la galerie » peut transformer ce coffre en passoire. Entre seed phrases volées et photos intimes potentiellement exploitables, le risque se situe désormais à la croisée de la vie privée et de la finance personnelle. Plus que jamais, la sobriété numérique – installer moins, partager moins, sauvegarder mieux – redevient une vertu cardinale.