Un nuovo malware SparkCat colpisce App Store e Google Play, sfruttando app legittime per intercettare frasi di portafogli di criptovalute. Come riconoscerlo?
Il team Kaspersky Threat Research ha individuato una nuova variante del malware SparkCat su App Store e Google Play, a un anno dalla prima scoperta e rimozione di questo trojan progettato per il furto di criptovalute. Il trojan si nasconde all’interno di applicazioni dall’aspetto legittimo e analizza le gallerie fotografiche degli utenti alla ricerca delle frasi di recupero dei portafogli di criptovalute.
La nuova versione di SparkCat viene diffusa tramite app legittime compromesse, tra cui applicazioni di messaggistica aziendale e un’app per la consegna di cibo. Kaspersky ha individuato due app infette sull’App Store e una su Google Play, dalle quali il codice dannoso è stato rimosso. I dati di telemetria indicano inoltre che le app infettate vengono distribuite anche tramite fonti di terze parti, alcune simulando l’App Store su iPhone.
Funzionamento e targeting del malware
La variante aggiornata per Android esegue una scansione delle gallerie alla ricerca di screenshot con parole chiave in giapponese, coreano e cinese, suggerendo un focus sulle criptovalute degli utenti asiatici. La versione iOS, invece, cerca le frasi mnemoniche dei portafogli in inglese, rendendo la minaccia più diffusa a livello globale.
Rispetto alle versioni precedenti, SparkCat per Android utilizza diversi livelli di offuscamento, virtualizzazione del codice e linguaggi multipiattaforma, tecniche rare nel malware mobile.
La variante iOS e le capacità del malware
“La variante aggiornata di SparkCat richiede, in determinati casi, l’accesso alla galleria fotografica dello smartphone dell’utente… Se il malware individua parole chiave rilevanti, invia l’immagine agli autori dell’attacco… Questa campagna sottolinea ancora una volta l’importanza di utilizzare soluzioni di sicurezza per smartphone”, ha affermato Sergey Puzan, Cybersecurity Expert di Kaspersky.
“Il malware SparkCat rappresenta una minaccia mobile in continua evoluzione. I suoi autori ne aumentano costantemente la complessità, eludendo i processi di revisione degli app store ufficiali… Questo dimostra l’elevato livello di competenza degli autori della minaccia”, ha aggiunto Dmitry Kalinin, Cybersecurity Expert di Kaspersky.
Questa minaccia viene rilevata dai prodotti Kaspersky con i verdict: HEUR:Trojan.AndroidOS.SparkCat* e HEUR:Trojan.IphoneOS.SparkCat*.
Come proteggersi
Per difendersi dal malware, Kaspersky consiglia:
Utilizzare software affidabile come Kaspersky for Mobile, che blocca l’installazione su Android e impedisce connessioni dannose su iOS.
Non salvare nella galleria screenshot con informazioni sensibili, in particolare le frasi seed dei portafogli di criptovalute. Conservare questi dati in app sicure come Kaspersky Password Manager.
Prestare attenzione anche alle app store ufficiali, che non sono completamente prive di rischi.
La nuova variante del malware SparkCat evidenzia come i trojan mobile possano evolversi e superare le difese tradizionali. La combinazione di offuscamento, scansione intelligente e targeting selettivo rende essenziale l’uso di soluzioni avanzate e aggiornate per ridurre i rischi e proteggere le criptovalute.
