SparkCat: Malware Multi-Piattaforma che si Diffonde Attraverso gli App Store

I ricercatori di cybersecurity di Kaspersky hanno scoperto una nuova campagna di malware chiamata “SparkCat”, che prende di mira sia gli utenti Android che iOS attraverso gli store ufficiali di app, tra cui Google Play e l’Apple App Store.

Kaspersky afferma che questo segna la prima volta che un “stealer” viene trovato nell’ecosistema Apple, sollevando preoccupazioni riguardo le vulnerabilità di sicurezza nelle applicazioni mobili.

Il malware, incorporato all’interno di un kit di sviluppo software maligno (SDK), è stato scoperto in applicazioni Android e iOS che avevano accumulato oltre 242.000 download.

SparkCat funziona principalmente come un ladro di riconoscimento ottico dei caratteri (OCR), analizzando le immagini nelle gallerie dei dispositivi degli utenti per estrarre le frasi di recupero del portafoglio cripto. Questa tecnica permette agli aggressori di eludere le misure di sicurezza tradizionali e ottenere accesso non autorizzato alle risorse digitali delle vittime.

L’indagine di ESET ha rintracciato l’attività di SparkCat fino a marzo 2024. Il malware opera utilizzando un plug-in OCR costruito con la libreria ML Kit di Google per identificare ed estrarre testi sensibili dalle immagini.

I dati rubati vengono poi inviati a un server di comando e controllo (C2) utilizzando un protocollo di comunicazione implementato in Rust – un linguaggio di programmazione raramente usato nelle applicazioni mobili, ulteriormente offuscando le sue operazioni.

Una delle app infette, un servizio di consegna di cibo chiamato “ComeCome”, è stato trovato su Google Play con oltre 10.000 download. Nella sua versione 2.0.0, l’app ha incluso segretamente un software dannoso chiamato “Spark”.

Una volta installato, Spark si collegava a un repository GitLab per scaricare istruzioni nascoste, che decodificava e decriptava. Se ciò falliva, utilizzava le impostazioni di backup già incorporate nel malware.

Per rubare i dati, il malware ha utilizzato una cifratura forte prima di inviarli a un server controllato da un hacker. Ha stratificato metodi di cifratura, tra cui AES-256, chiavi RSA e compressione, rendendo difficile per gli esperti di sicurezza tracciare o decifrare le informazioni rubate.

Le app infettate sollecitavano gli utenti a concedere l’accesso alle loro gallerie fotografiche sotto il pretesto di interazioni con l’assistenza clienti. Se veniva concesso il permesso, il malware cercava attivamente parole chiave relative alla criptovaluta in diverse lingue, tra cui inglese, cinese e francese, per identificare frasi di recupero di valore.

Gli esperti di sicurezza avvertono gli utenti di esercitare prudenza durante il download di applicazioni, anche da fonti ufficiali, e di controllare regolarmente i permessi delle app per mitigare potenziali minacce.

La scoperta di SparkCat sottolinea i rischi persistenti generati da campagne di malware sofisticate all’interno di mercati digitali di fiducia.