SparkCat: scoperto il primo stealer su App Store, un rischio per i wallet crypto

Nel panorama della sicurezza informatica emerge una nuova minaccia che coinvolge sia dispositivi Android che iOS. Si tratta di SparkCat, un malware sofisticato progettato per rubare frasi di recupero dei wallet di criptovalute attraverso app apparentemente legittime disponibili su Google Play e anche su Apple App Store: è la prima volta che viene riscontrata la presenza di un malware stealer all'interno del negozio di app della Mela.

Le indagini condotte dai ricercatori Kaspersky hanno rivelato che SparkCat si nasconde all'interno di app infette dotate di un SDK o framework malevolo. Queste app, tra cui un'app di consegna cibo chiamata "ComeCome", sono state scaricate oltre 242.000 volte solo su Google Play. Il malware utilizza tecnologie come il riconoscimento ottico dei caratteri (OCR) basato sulla libreria ML Kit di Google per analizzare le immagini presenti nella galleria del dispositivo alla ricerca di parole chiave specifiche legate alle criptovalute. I ricercatori hanno individuato 18 app compromesse su Google Play e 11 su App Store. 

Fonte: Kaspersky

Il funzionamento del malware è complesso e ben orchestrato. Una volta installata l'app infetta, il modulo malevolo decodifica e lancia un plug-in OCR che scansiona le immagini alla ricerca di frasi mnemoniche utilizzate per accedere ai wallet crypto. Se rilevate, queste informazioni vengono inviate a server controllati dagli attaccanti tramite protocolli cifrati. Per la comunicazione con i server (C2), SparkCat utilizza un protocollo non identificato implementato in Rust, un linguaggio raramente usato nelle applicazioni mobili.

La diffusione del malware non si limita alle piattaforme ufficiali; molte app infette sono state distribuite anche tramite canali non ufficiali. Tuttavia, ciò che rende SparkCat particolarmente insidioso è la sua capacità di operare in modo invisibile agli utenti. Le richieste di autorizzazione appaiono legittime, come l'accesso alla galleria immagini per scopi apparentemente innocui come l'invio di foto al supporto clienti.

Fonte: Kaspersky

Un aspetto preoccupante è rappresentato dall'inclusione del malware anche in app disponibili su Apple App Store, rompendo il mito dell'impenetrabilità dell'ecosistema iOS. Le versioni iOS del malware condividono molte caratteristiche con quelle Android ma presentano alcune differenze tecniche, come l'uso diretto del framework malevolo all'interno dell'eseguibile dell'app. Il framework stesso è scritto in Objective-C e offuscato con HikariLLVM.

Le analisi hanno evidenziato che gli attaccanti sono finanziariamente motivati e mirano principalmente, come detto, a sottrarre frasi mnemoniche per accedere ai wallet crypto delle vittime: trattandosi però di un malware che sfrutta la tecnologia OCR è bene tenere presente che esso può tranquillamente rubare anche altre informazioni sensibili presenti nelle gallerie immagini, come messaggi o password catturate in screenshot.

I ricercatori hanno trovato indizi che suggeriscono un'origine cinese degli sviluppatori del malware, senza però poter attribuire con certezza la campagna a un gruppo specifico. Le parole chiave utilizzate dal malware sono localizzate in diverse lingue europee e asiatiche, indicando una portata geografica ampia.

Per proteggersi da questa minaccia, i ricercatori Kaspersky consigliano di rimuovere immediatamente le app infette dai propri dispositivi e di evitare di reinstallarle fino a quando non saranno disponibili versioni sicure. Inoltre, è fondamentale non conservare screenshot contenenti informazioni sensibili nella galleria e utilizzare strumenti di sicurezza robusti su tutti i dispositivi.