I ricercatori di Kaspersky hanno scoperto un nuovo spy Trojan chiamato SparkKitty che prende di mira gli smartphone con sistema operativo iOS e Android, inviando immagini da un telefono infetto e informazioni sui dispositivi agli aggressori. Questo malware è stato incorporato in app relative a criptovalute e gioco d’azzardo, oltre che in un’app TikTok già infettata, ed è stato distribuito su App Store e Google Play, oltre che su siti web fraudolenti. Gli esperti suggeriscono che l’obiettivo degli aggressori sia quello di rubare le criptovalute ai residenti del sud-est asiatico e della Cina. Nonostante questo, anche gli utenti degli altri Paesi, compresa l’Italia, sono potenzialmente a rischio di subire una minaccia informatica simile.

Kaspersky ha informato Google e Apple delle app dannose. Alcuni dettagli tecnici suggeriscono che la nuova campagna di malware sia collegata al Trojan SparkCat, scoperto in precedenza, un malware (il primo del suo genere su iOS) con un modulo OCR (Optical Character Recognition) incorporato che gli permette di scansionare gallerie di immagini e rubare schermate contenenti frasi di recupero di portafogli di criptovalute o password. SparkKitty è il secondo caso in un anno in cui i ricercatori di Kaspersky hanno trovato un Trojan stealer su App Store, dopo SparkCat.

iOS

Su App Store, il trojan fingeva di essere un’applicazione legata alle criptovalute — 币coin. Allo stesso tempo, sulle pagine di phishing che imitano l’App Store ufficiale dell’iPhone, il malware è stato distribuito sotto le sembianze di TikTok e di applicazioni per il gioco d’azzardo.

"Uno dei vettori per la distribuzione del Trojan sembra essere costituito da siti web falsi in cui gli aggressori hanno cercato di infettare gli iPhone delle vittime. iOS ha diversi modi legittimi per installare programmi non prevenienti dall’App Store. In questa campagna dannosa, gli aggressori hanno utilizzato uno di questi strumenti speciali per sviluppatori per la distribuzione di applicazioni aziendali. Nella versione infetta di TikTok, durante l’autorizzazione, il malware, oltre a rubare le foto della galleria dello smartphone, ha incorporato dei link a un negozio sospetto nella finestra del profilo della persona. Questo negozio accetta solo criptovalute, il che aumenta le nostre preoccupazioni”, ha spiegato Sergey Puzan, Malware Expert at Kaspersky.

Android

Gli aggressori hanno preso di mira gli utenti sia su siti web di terze parti che su Google Play, presentando il malware come un servizio di criptovaluta. Ad esempio, una delle applicazioni infette – un messenger chiamato SOEX con funzione di scambio di criptovalute – è stata scaricata dallo store ufficiale oltre 10.000 volte.

Gli esperti hanno anche trovato file APK di app infette (che possono essere installate direttamente sugli smartphone Android aggirando gli store ufficiali) su siti web di terze parti che probabilmente sono collegati alla campagna dannosa rilevata. Sono posizionate come progetti di investimento in criptovalute. I siti web su cui sono state pubblicate queste applicazioni erano pubblicizzati sui social network, compreso YouTube.

"Dopo l’installazione, le app funzionavano come promesso nella loro descrizione. Ma allo stesso tempo, le foto della galleria dello smartphone venivano inviate agli aggressori. Gli aggressori possono poi cercare di trovare dati riservati nelle immagini, ad esempio frasi di recupero di portafogli di criptovalute per accedere ai beni delle vittime. Ci sono segnali indiretti digitali delle persone: molte delle app infette erano legate alle criptovalute e l’app TikTok oggetto del Trojan aveva anche un negozio integrato che accettava il pagamento di beni solo in criptovalute", ha aggiunto Dmitry Kalinin, Malware Expert di Kaspersky.

