Il y a toujours une première fois : les experts en sécurité de Kaspersky ont signalé la découverte d'applications dans l' App Store infectées par des logiciels malveillants capables d'extraire les mots de passe et les clés de récupération des portefeuilles cryptographiques d'utilisateurs malchanceux. La nouvelle est assez significative, car il s'agit du premier cas connu, selon les auteurs de l'article, d'applications dans l'App Store qui utilisent la technologie OCR pour extraire du texte des images et l'envoyer à des serveurs externes. Le fonctionnement de l’attaque est particulièrement insidieux, car il agit de manière très furtive. Les applications (dont certaines sont également disponibles sur le Play Store ) cachent un code qui active un plugin OCR inclus dans la bibliothèque ML Kit de Google pour reconnaître le texte dans les images de la galerie. Une fois que l'utilisateur lance une discussion avec l'équipe d'assistance de l'application via le bouton dédié, l'application demande à l'utilisateur l'accès à la galerie de photos. À ce stade, c'est tout : une fois l'autorisation accordée, l'application commence à vérifier les images de la galerie à l'aide de la technologie OCR de Google , qui permet de déchiffrer le texte trouvé dans les photos.

À l'aide de filtres de recherche spécifiques, sélectionnez du texte contenant des informations possibles liées à l'accès au portefeuille cryptographique, telles que des captures d'écran de mots de passe ou des phrases de récupération. Le logiciel envoie ensuite toutes les images qu'il trouve à un serveur dédié, où les attaquants peuvent ensuite utiliser les informations pour accéder aux cryptowallets et voler des cryptomonnaies. Ce type de malware, un cheval de Troie appelé SparkCat, a été découvert en 2024 et est activement utilisé dans les applications depuis mars de la même année. Quant aux applications étudiées, il s'agit de ComCome-Chinese Food Delivery , disponible sur l'App Store et le Play Store, où elle a été téléchargée plus de 242 000 fois, et de deux applications disponibles uniquement sur l'App Store, WeTink et AnyGPT.

Bien que Kaspersky ne puisse pas déterminer si la première a été conçue pour transporter des logiciels malveillants ou si elle a été inoculée à l'insu des développeurs , les deux dernièrs, créées par le même développeur, semblent être le résultat d'une action délibérée. Aucune des trois applications ne semble être disponible sur l'App Store, du moins celui belge, alors que jusqu'à récemment elles étaient encore téléchargeables sur celui américain. Sur le Play Store, ComCome-Chinese Food Delivery est toujours disponible. D'ailleurs, sur l'App Store ce dernier avait reçu une critique négative d'un utilisateur qui avait découvert ce qu'il faisait sur son téléphone. L'article conclut son analyse de manière assez directe, en affirmant que la présence d'un tel cheval de Troie, « brise une fois de plus le mythe selon lequel iOS est en quelque sorte imperméable aux menaces posées par les applications malveillantes ciblant Android ». Le conseil est de désinstaller immédiatement les applications en question et surtout d'éviter de stocker des captures d'écran contenant des informations sensibles, telles que des phrases de récupération et des mots de passe, dans la galerie et de le faire uniquement dans des applications dédiées.