Kaspersky scopre SparkCat: il trojan che ruba criptovalute tramite App Store e Google Play

Gli esperti del Kaspersky Threat Research hanno individuato SparkCat, un nuovo trojan per il furto di dati, attivo in AppStore e Google Play almeno da marzo 2024. Si tratta del primo caso noto di malware basato su riconoscimento ottico presente nell'App Store.

SparkCat si sta diffondendo sia tramite app legittime infette, che attraverso applicazione “esca” come applicazioni di messaggistica, assistenti AI, app di food delivery, app di criptovalute e altre ancora, alcune delle quali sono disponibili nelle piattaforme ufficiali di Google Play e App Store. Dai dati telemetrici raccolti da Kaspersky, risulta che su Google Play queste app sono state scaricate oltre 242.000 volte, ma le versioni infette vengono distribuite anche attraverso altre fonti non ufficiali.

Una volta installato, SparkCat richiede l'accesso alla galleria fotografica dello smartphone dell'utente e inizia ad analizzare il testo delle immagini memorizzate tramite un modello di riconoscimento ottico dei caratteri (OCR). Se lo stealer rileva parole chiave sensibili, inviare le immagini direttamente ai cybercriminali. L'obiettivo principale degli hacker è trovare le frasi di recupero dei portafogli di criptovalute, che consentono loro di ottenere il pieno controllo e rubare il denaro. Oltre a estrarre queste informazioni importanti, SparkCat è in grado di raccogliere anche altri dati personali dagli screenshot, come messaggi e password.

“Si tratta del primo caso noto di malware basato su OCR diffuso nell'AppStore”, ha commentato Sergey Puzan, Malware Analyst di Kaspersky. “Al momento non è chiaro se le applicazioni presenti su App Store e Google Play siano state compromesse tramite un attacco alla supply chain o attraverso altri metodi. Alcune app, come quelle di food delivery, sembrano legittime, mentre altre sono chiaramente progettate come "esche" per attirare le vittime”.