SparkCat revient : le malware OCR dans les app stores vole les cryptos via vos photos

Publié le avril 7, 2026 · par ALGERIATECH Editorial

⚡ Points Clés

Le malware SparkCat est réapparu en avril 2026 avec virtualisation de code et obfuscation multiplateforme, contournant les vérifications d’Apple et Google pour voler les phrases de récupération crypto via OCR sur l’appareil. La campagne originale avait accumulé plus de 242 000 téléchargements, et Chainalysis a rapporté 3,4 milliards de dollars de vol crypto sur 158 000 incidents en 2025.

En résumé : Les utilisateurs de smartphones devraient immédiatement auditer les permissions de galerie photo sur toutes les applications et supprimer toute image stockée de phrases de récupération, mots de passe ou credentials financiers — SparkCat prouve que la vérification des app stores ne suffit pas à empêcher le vol de données par l’IA embarquée.

Lire l’analyse complète ↓

🧭 Radar de Décision (Perspective Algérie)

Pertinence pour l’Algérie
Moyen
▾

Les 37,8 millions d’internautes algériens et la forte pénétration des smartphones (117 % de connexions mobiles) créent une large surface d’attaque, et l’usage informel croissant des cryptos dans la région MENA signifie que les utilisateurs algériens ne sont pas immunisés malgré les restrictions officielles.

Infrastructure prête ?
Partiel
▾

La pénétration des smartphones est élevée, mais les capacités nationales de détection des menaces mobiles et les programmes de sensibilisation à la cybersécurité restent limités par rapport aux références européennes.

Compétences disponibles ?
Partiel
▾

L’Algérie dispose de talents croissants en cybersécurité, mais l’analyse spécialisée de malwares mobiles et la réponse aux menaces basées sur l’OCR nécessitent des capacités avancées pas encore largement disponibles localement.

Calendrier d’action
Immédiat
▾

La menace est active actuellement, et les mesures comportementales (ne pas photographier les phrases de récupération, auditer les permissions) ne nécessitent aucun investissement infrastructurel.

Parties prenantes clés
Utilisateurs mobiles, startups fintech, opérateurs télécoms, DZ-CERT, régulateurs bancaires

Type de décision
Tactique
▾

Cela requiert une sensibilisation immédiate des utilisateurs et une hygiène des permissions plutôt qu’un investissement stratégique à long terme.

En bref : Les utilisateurs algériens de smartphones devraient immédiatement auditer les permissions de galerie photo et supprimer toute image stockée de credentials financiers ou de phrases de récupération. Les opérateurs télécoms et le DZ-CERT devraient émettre des avis publics sur les menaces mobiles basées sur l’OCR, car la forte pénétration des smartphones rend la population algérienne vulnérable même sans marchés formels de cryptomonnaies.

Le cheval de Troie qui a passé la vérification Apple deux fois

En février 2025, Kaspersky a documenté un cheval de Troie voleur de cryptos qui avait passé la vérification de l’App Store d’Apple — une première. Ils l’ont nommé SparkCat. Après avoir accumulé plus de 242 000 téléchargements sur Google Play, les deux stores ont supprimé les applications infectées. En avril 2026, le malware est revenu avec des améliorations significatives, prouvant que la découverte initiale n’était pas un incident isolé mais le premier chapitre d’une menace persistante et évolutive.

Les implications dépassent la cryptomonnaie. SparkCat démontre que la vérification officielle des app stores — la mesure de sécurité que la plupart des utilisateurs considèrent comme impénétrable — présente des angles morts structurels que des attaquants sophistiqués peuvent exploiter de manière répétée.

Comment SparkCat transforme les photos en surface d’attaque

SparkCat s’intègre dans des applications d’apparence légitime — services de livraison de repas, messageries d’entreprise et applications de jeux — et attend un déclencheur pour demander l’accès à la galerie photo. Une fois l’autorisation accordée via une invite contextuellement plausible, l’opération réelle commence.

Le cheval de Troie exploite la bibliothèque ML Kit de Google pour effectuer une reconnaissance optique de caractères (OCR) sur l’appareil, scannant chaque image accessible à la recherche de motifs textuels correspondant aux phrases de récupération de portefeuilles crypto — les phrases mnémoniques de 12 ou 24 mots qui servent de clé maître d’un portefeuille crypto.

Ce qui rend SparkCat particulièrement dangereux est que le traitement OCR s’effectue entièrement sur l’appareil. Aucune donnée suspecte n’est transmise pendant le scan. Ce n’est que lorsque le malware identifie une correspondance qu’il exfiltre l’image vers un serveur de commande et contrôle, via un protocole personnalisé développé en Rust — un langage rarement utilisé dans les malwares mobiles. Le variant Android récupère des mises à jour de configuration chiffrées depuis des dépôts GitLab en utilisant AES-256 en mode CBC. La version iOS intègre le module réseau basé sur Rust directement dans l’exécutable, utilisant des noms de frameworks comme « Gzip » et « googleappsdk » pour se fondre dans le décor.

Le variant 2026 : nettement amélioré

Le variant d’avril 2026 a fait surface dans au moins deux applications iOS et une application Android avec des améliorations techniques majeures.

Virtualisation de code. La charge utile Android transforme désormais la logique malveillante en bytecode personnalisé interprété à l’exécution, rendant l’analyse statique significativement plus difficile — les décompilateurs ne peuvent pas reconstituer le flux de contrôle original.

Obfuscation multiplateforme. Le nouveau variant emploie plusieurs langages multiplateformes au-delà de Rust, ajoutant des couches d’indirection qui frustrent tant les scanners automatisés que la rétro-ingénierie manuelle. Ces techniques suggèrent une équipe de développement disposant de ressources importantes.

Ciblage linguistique élargi. La version Android scanne les mots-clés japonais, coréens et chinois, reflétant son focus sur les marchés crypto asiatiques. Le variant iOS cible les phrases mnémoniques anglaises, lui conférant une portée potentiellement mondiale.

Infrastructure persistante. La connexion avec une campagne liée que Kaspersky a nommée SparkKitty — partageant frameworks de build, applications infectées et chemins de fichiers des attaquants — indique une opération durable. SparkKitty a étendu la surface d’attaque à des versions trojanisées d’applications populaires distribuées via les stores officiels et des sites web frauduleux.

Pourquoi la vérification des app stores a échoué à nouveau

Le SDK malveillant se fait passer pour un composant analytique légitime — une classe Java appelée « Spark » sur Android qui se comporte comme un module standard pendant la vérification. Le scan OCR ne s’active que lorsque des conditions spécifiques sont remplies : accès à la galerie accordé, configuration récupérée depuis un serveur distant. Pendant la vérification, l’application fonctionne normalement.

L’App Review d’Apple et le Play Protect de Google s’appuient sur des scans automatisés et une analyse comportementale pendant une fenêtre de test limitée. L’activation différée et conditionnelle de SparkCat exploite spécifiquement cette faille. À mesure que davantage d’applications utilisent légitimement ML Kit, Core ML et des frameworks similaires, distinguer l’inférence malveillante sur appareil de l’inférence bénigne devient exponentiellement plus difficile.

L’IA embarquée comme arme

SparkCat représente une classe émergente de menaces qui instrumentalisent l’apprentissage automatique embarqué. Plutôt que d’exfiltrer des données brutes vers des serveurs cloud (détectable par la surveillance réseau), ces attaques traitent les données localement en utilisant les mêmes frameworks ML qui alimentent les fonctionnalités légitimes.

La campagne originale a opéré sans être détectée pendant près d’un an avant sa divulgation. Le retour rapide du variant 2026 suggère que les opérateurs ont traité le démantèlement initial comme un revers temporaire. Chainalysis a rapporté que le vol de cryptomonnaies a atteint 3,4 milliards de dollars en 2025, avec les compromissions de portefeuilles individuels bondissant à 158 000 incidents affectant 80 000 victimes uniques — et les attaques mobiles représentent un vecteur de plus en plus significatif.

Ce que vous devriez faire maintenant

Ne jamais photographier les phrases de récupération. Écrivez-les sur papier, stockez-les hors ligne. Si vous avez des captures d’écran de phrases de récupération, supprimez-les immédiatement — puis vérifiez votre portefeuille pour toute activité non autorisée.

Auditer les permissions des applications. Sur iOS : Réglages > Confidentialité > Photos. Sur Android : Paramètres > Applications > Permissions > Photos et Vidéos. Révoquez l’accès pour toute application sans besoin fonctionnel clair.

Supprimer les applications suspectes. Si vous avez installé des applications correspondant aux catégories ciblées par SparkCat (livraison de repas, messagerie, jeux d’éditeurs inconnus), supprimez-les. Certaines applications infectées étaient encore disponibles au moment de la divulgation de Kaspersky en avril 2026.

Activer l’accès photo limité. iOS et Android offrent désormais des permissions photo granulaires — partagez des images individuelles plutôt que d’accorder l’accès complet à la galerie.

Suivez AlgeriaTech sur LinkedIn pour des analyses tech professionnelles Suivre sur LinkedIn

Suivez @AlgeriaTechNews sur X pour des analyses tech quotidiennes Suivre sur X

Questions Fréquemment Posées

SparkCat peut-il voler des données autres que les phrases de récupération de cryptomonnaies ?

Oui. Bien que la charge principale de SparkCat cible les phrases mnémoniques crypto, le moteur OCR sous-jacent peut être reconfiguré via des mises à jour C2 distantes pour scanner tout motif textuel — mots de passe, identifiants bancaires ou documents sensibles. Le variant SparkKitty apparenté démontre déjà des capacités de vol d’images plus larges, et l’architecture modulaire du malware permet aux opérateurs d’étendre le ciblage sans modifier l’application installée.

Supprimer l’application infectée suffit-il à éliminer SparkCat ?

Supprimer l’application élimine le malware actif, car SparkCat opère dans le sandbox de l’application sur iOS et Android sans installer de rootkits persistants. Cependant, les images déjà exfiltrées ne peuvent pas être récupérées. Si vous suspectez une compromission, considérez comme compromis toute phrase de récupération ou identifiant visible dans votre galerie photo — transférez vos cryptos vers un nouveau portefeuille avec une phrase seed fraîchement générée et changez tout mot de passe visible dans les captures d’écran.

Comment savoir si une application sur mon téléphone est infectée par SparkCat ?

SparkCat est conçu pour être invisible aux utilisateurs finaux — les applications infectées fonctionnent normalement tandis que le scan OCR s’exécute silencieusement. Les produits grand public de Kaspersky le détectent comme HEUR:Trojan.IphoneOS.SparkCat et HEUR:Trojan.AndroidOS.SparkCat. Au-delà du scan antivirus, l’indicateur le plus fort est une application demandant l’accès complet à la galerie photo sans besoin fonctionnel clair, surtout lors d’interactions inhabituelles comme un chat de support.