SparkCat est un malware mobile identifié en 2024, capable d’extraire automatiquement des données sensibles à partir des captures d’écran stockées sur les terminaux Android et iOS. Exploitant des mécanismes d’analyse optique de caractères (OCR), il constitue une menace discrète et ciblée, capable de contourner les protections traditionnelles par l’exploitation légitime des permissions accordées aux applications.

Vecteurs d’infection applicatifs et abus de permissions mobiles

La chaîne d’infection repose sur la distribution d’applications apparemment inoffensives, proposées sur les boutiques officielles ou obtenues via sideloading. Ces applications requièrent l’accès aux fichiers multimédias (photothèque, captures d’écran) sous des prétextes fonctionnels tels que l’assistance utilisateur ou la personnalisation. Une fois ces autorisations accordées, SparkCat peut accéder aux captures d’écran et initier son processus d’analyse.

Analyse visuelle automatisée et extraction OCR embarquée

SparkCat intègre un moteur d’analyse basé sur des bibliothèques de reconnaissance optique de caractères, déployé en Rust sur iOS et Java sur Android. Il scanne les images pour détecter des informations textuelles critiques telles que des phrases de récupération, des identifiants, des codes d’authentification à deux facteurs, ou des informations bancaires.

Les données extraites sont filtrées, compressées localement, puis exfiltrées vers des serveurs de commande via des connexions chiffrées, typiquement en HTTPS.

Techniques de persistance et d’évasion observées sur iOS et Android

L’exécution du malware s’effectue en tâche de fond à travers des processus système standards. L’activité réseau est minimale, segmentée en petits paquets chiffrés, masquant l’exfiltration dans le trafic normal des applications mobiles. SparkCat évite les notifications système, les logs visibles ou les pics d’utilisation qui pourraient alerter un utilisateur averti ou une solution EDR mobile.

Focus Malware SparkCat _Processus

Processus Malware SparkCat

Cartographie des techniques MITRE ATT&CK for Mobile

SparkCat s’aligne sur plusieurs techniques documentées dans le référentiel MITRE ATT&CK :

  • T1477 : accès initial via application infectée

  • T1204 : exécution basée sur l’interaction utilisateur (permissions)

  • T1560 : collecte locale de données (captures d’écran)

  • T1056.001 : capture de texte via OCR

  • T1041 : exfiltration via protocole HTTPS

Cette cartographie facilite la modélisation des scénarios d’attaque dans les systèmes de détection et de réponse.

Indicateurs de compromission (IOCs) et détection via règles YARA

Plusieurs domaines associés à SparkCat ont été mis en évidence, parmi lesquels googleapps.top, aliyung.com et appleapi.dev. Ces infrastructures, actives depuis la fin de l’année 2023, servent de serveurs de commande et de contrôle (C2) pour le malware.

Le trafic généré présente des volumes très faibles et des fréquences régulières, rendant difficile sa détection sans analyse comportementale.

Approche défensive : mesures de mitigation et stratégies de surveillance

La défense contre SparkCat repose sur la combinaison de contrôles techniques et de surveillance comportementale. Il est recommandé de :

  • Restreindre systématiquement l’accès aux médias pour les applications tierces,

  • Auditer les permissions actives sur les flottes mobiles, notamment celles liées aux captures d’écran,

  • Mettre en place des alertes réseau sur les domaines identifiés ou sur des modèles de communication anormaux,

  • Surveiller les accès répétés aux répertoires de screenshots via les solutions MDM ou EDR mobiles.

Les plateformes de détection comportementale, comme le SIEM XDR Reveelium, peuvent fournir une couche de détection supplémentaire sur les environnements à risque.

Conclusion

SparkCat introduit une approche originale du vol de données, en ciblant non pas les fichiers ou les frappes clavier, mais les éléments visuels générés par l’utilisateur. Ce positionnement sur les captures d’écran, combiné à des techniques de traitement local et d’exfiltration furtive, lui confère une efficacité opérationnelle élevée.

Face à ce type de menace, les méthodes de sécurité traditionnelles sont insuffisantes. La prévention passe par le durcissement des politiques de permissions, la surveillance comportementale fine et l’adoption de solutions spécialisées dans la détection des menaces mobiles émergentes.