I ricercatori di Kaspersky hanno identificato un nuovo pericoloso Trojan denominato SparkKitty, capace di spiare gli utenti Android e iOS tramite app infette distribuite su App Store, Google Play e siti web fraudolenti. Il malware sottrae immagini dallo smartphone e raccoglie informazioni sul dispositivo, potenzialmente per il furto di portafogli di criptovalute. Secondo quanto emerso, SparkKitty è stato incluso in applicazioni legate al mondo delle criptovalute e del gioco d’azzardo, nonché in una versione modificata di TikTok, scaricabile da fonti non ufficiali. Il principale obiettivo sembrano essere gli utenti del sud-est asiatico e della Cina, ma Kaspersky avverte che anche gli utenti di altri Paesi, Italia compresa, sono potenzialmente a rischio.
Kaspersky ha segnalato il malware a Google e Apple. Alcuni indizi tecnici suggeriscono un legame tra SparkKitty e SparkCat, un precedente Trojan scoperto sempre da Kaspersky su dispositivi iOS. Quest’ultimo utilizzava un modulo OCR (riconoscimento ottico dei caratteri) per individuare e rubare frasi di recupero dei wallet crittografici contenute negli screenshot.

Falso web store incluso nella presunta app TikTok
Come agisce SparkKitty su iOS

Presunta app di scambio di criptovalute 币coin, su App Store

Pagina web che imita AppStore per installare una presunta app di TikTok attraverso gli strumenti per sviluppatori
Su App Store, il malware si presentava con il nome 币coin, fingendosi un’app di gestione criptovalute. In parallelo, veniva distribuito tramite siti di phishing che imitavano l’interfaccia dell’App Store ufficiale, con versioni infette di app popolari come TikTok e giochi d’azzardo. Gli aggressori hanno sfruttato uno strumento di distribuzione aziendale legittimo per installare l’app al di fuori dei canali ufficiali, aggirando così le restrizioni imposte da Apple. Una volta installata, l’app infetta di TikTok rubava le immagini della galleria del dispositivo durante la fase di autorizzazione, inserendo nel profilo dell’utente un link a un negozio sospetto che accettava pagamenti solo in criptovalute.
Infezioni Android anche tramite Google Play
Per quanto riguarda Android, SparkKitty è stato diffuso sia attraverso store ufficiali come Google Play sia mediante file APK distribuiti su siti di terze parti. Un esempio è SOEX, un messenger con funzionalità di exchange crypto, scaricato oltre 10.000 volte dallo store ufficiale. Come accaduto su iOS, anche in questo caso l’app funzionava come descritto ma, in background, inviava le foto presenti nella galleria dello smartphone ai server degli aggressori. L’obiettivo era intercettare eventuali informazioni riservate, come le frasi seed per il recupero di wallet. I siti di distribuzione erano pubblicizzati sui social, tra cui anche YouTube, e le app erano camuffate da progetti di investimento in criptovalute, un’esca perfetta per attirare utenti ignari.
Massima allerta anche fuori dall’Asia
Sebbene le prime tracce della campagna siano legate all’Asia, gli esperti di Kaspersky mettono in guardia anche gli utenti di altre aree geografiche. Il caso di SparkKitty dimostra come anche app ufficiali o insospettabili possano diventare vettori di malware, sfruttando la fiducia degli utenti nei confronti dei marketplace ufficiali e delle app note. Il Trojan è il secondo caso noto di malware stealer su App Store individuato da Kaspersky, a conferma del fatto che neanche i dispositivi iOS sono più immuni da questo tipo di minacce.
Per ulteriori dettagli tecnici, il report completo è disponibile a questo indirizzo.

Presunta app di scambio di criptovalute, SOEX, su Google Play
*illustrazione articolo progettata da SecureList
The post Il Trojan che buca gli store first appeared on Hackerjournal.it.