iOS e Android nel mirino dello spy Trojan SparkKitty

Obiettivo primario degli aggressori quello di rubare criptovalute ai residenti del sud-est asiatico e Cina.

Trojan

Kaspersky ha scoperto lo spy Trojan SparkKitty, che attacca gli smartphone iOS e Android, inviando immagini da un telefono infetto e informazioni sui dispositivi agli aggressori. Questo malware è stato incorporato in app relative a criptovalute e gioco d’azzardo, oltre che in un’app TikTok già infettata. È stato distribuito su App Store e Google Play, oltre che su siti web fraudolenti. Secondo gli esperti, obiettivo degli aggressori quello di rubare criptovalute ai residenti del sud-est asiatico e Cina. Nonostante ciò, anche gli utenti degli altri Paesi, compresa l’Italia, sono potenzialmente a rischio di subire una minaccia informatica simile.

Lo spy Trojan SparkKitty è collegato al malware SparkCart

Kaspersky ha informato Google e Apple delle app dannose. Alcuni dettagli tecnici suggeriscono che la nuova campagna di malware sia collegata al Trojan SparkCat, scoperto in precedenza. SparkCat è un malware – il primo del suo genere su iOS – con un modulo OCR (Optical Character Recognition) incorporato. Questo gli permette di scansionare gallerie di immagini e rubare schermate contenenti frasi di recupero di portafogli di criptovalute o password. SparkKitty è il secondo caso in un anno in cui i ricercatori di Kaspersky hanno trovato un Trojan stealer su App Store, dopo SparkCat.

Il modus operandi su iOS

Su App Store, il trojan fingeva di essere un’applicazione legata alle criptovalute — 币coin. Allo stesso tempo, sulle pagine di phishing che imitano l’App Store ufficiale dell’iPhone, il malware è stato distribuito sotto le sembianze di TikTok e di applicazioni per il gioco d’azzardo.

Come funziona lo spy Trojan SparkKitty

Sergey Puzan, Malware Expert at Kaspersky
Uno dei vettori per la distribuzione del Trojan sembra essere costituito da siti web falsi in cui gli aggressori hanno cercato di infettare gli iPhone delle vittime. iOS ha diversi modi legittimi per installare programmi non prevenienti dall’App Store. In questa campagna dannosa, gli aggressori hanno utilizzato uno di questi strumenti speciali per sviluppatori per la distribuzione di applicazioni aziendali. Nella versione infetta di TikTok, durante l’autorizzazione, il malware, oltre a rubare le foto della galleria dello smartphone, ha incorporato link a un negozio sospetto nella finestra del profilo della persona. Questo negozio accetta solo criptovalute, il che aumenta le nostre preoccupazioni.

Falsi progetti di investimento in criptovalute

Gli aggressori hanno preso di mira gli utenti sia su siti web di terze parti che su Google Play, presentando il malware come un servizio di criptovaluta. Ad esempio, una delle applicazioni infette – un messenger chiamato SOEX con funzione di scambio di criptovalute – è stata scaricata dallo store ufficiale oltre 10.000 volte. Gli esperti hanno anche trovato file APK di app infette, che possono essere installate direttamente sugli smartphone Android. Aggirando così gli store ufficiali, su siti web di terze parti, che probabilmente sono collegati alla campagna dannosa rilevata. Sono posizionate come progetti di investimento in criptovalute. I siti web su cui sono state pubblicate queste applicazioni erano pubblicizzati sui social, compreso YouTube.

Il ruolo delle criptovalute

Dmitry Kalinin, Malware Expert di Kaspersky
Dopo l’installazione, le app funzionavano come promesso nella loro descrizione. Ma allo stesso tempo, le foto della galleria dello smartphone venivano inviate agli aggressori, che possono poi cercare di trovare dati riservati nelle immagini. Come ad esempio frasi di recupero di portafogli di criptovalute per accedere ai beni delle vittime. Ci sono segnali indiretti digitali delle persone. Molte delle app infette erano legate alle criptovalute e l’app TikTok oggetto del Trojan aveva anche un negozio integrato che accettava il pagamento di beni solo in criptovalute.

I consigli per proteggersi dallo spy Trojan SparkKitty

Per mettersi al sicuro gli esperti di Kaspersky raccomandano di:

  • rimuovere immediatamente dal dispositivo l’applicazione infetta installata e non utilizzarla finché non verrà rilasciato un aggiornamento per eliminare le funzionalità dannose.
  • Evitare di memorizzare nella galleria schermate contenenti informazioni sensibili, comprese le frasi di recupero dei portafogli di criptovalute. Le password, ad esempio, possono essere memorizzate in applicazioni specializzate come Kaspersky Password Manager.
  • Utilizzare un software di sicurezza informatica affidabile, come Kaspersky Premium, per prevenire le infezioni da malware. Grazie alle caratteristiche strutturali del sistema operativo Apple, la soluzione Kaspersky per iOS mostra all’utente un avviso se rileva un tentativo di trasferimento di dati al server di comando dell’aggressore e lo blocca.
  • Se un’applicazione chiede il permesso di accedere alla galleria fotografica del telefono, valutare se sia davvero necessario.