Gli esperti del Kaspersky Threat Research hanno individuato SparkCat, un nuovo trojan per il furto di dati, attivo in AppStore e Google Play almeno da marzo 2024. Si tratta del primo caso noto di malware basato su riconoscimento ottico presente nell’App Store. SparkCat sfrutta algoritmi di machine learning per scansionare la galleria fotografica dei dispositivi degli utenti e per recuperare screenshot contenenti informazioni sensibili, come password e dettagli sui portafogli di criptovalute. Kaspersky ha già segnalato a Google e Apple la presenza di applicazioni dannose sui rispettivi store.
Diffusione del nuovo malware
SparkCat si sta diffondendo sia tramite app legittime infette, che attraverso applicazione “esca” come applicazioni di messaggistica, assistenti AI, app di food delivery, app di criptovalute e altre ancora, alcune delle quali sono disponibili nelle piattaforme ufficiali di Google Play e App Store. Dai dati telemetrici raccolti da Kaspersky, risulta che su Google Play queste app sono state scaricate oltre 242.000 volte, ma le versioni infette vengono distribuite anche attraverso altre fonti non ufficiali.
Obiettivo del malware
Basandosi sulle informazioni relative alle aree operative delle app infette e sull’analisi tecnica del malware, gli esperti di Kaspersky hanno concluso che SparkCat colpisce principalmente gli utenti degli Emirati Arabi Uniti, dell’Europa e dell’Asia. Infatti, il malware scansiona la galleria fotografica alla ricerca di parole chiave in lingue diverse, tra cui cinese, giapponese, coreano, inglese, ceco, francese, italiano, polacco e portoghese. Tuttavia, gli esperti ritengono che le vittime possano provenire anche da altri Paesi.
Modalità di funzionamento di SparkCat
Una volta installato, SparkCat richiede l’accesso alla galleria fotografica dello smartphone dell’utente e inizia ad analizzare il testo delle immagini memorizzate tramite un modello di riconoscimento ottico dei caratteri (OCR). Se lo stealer rileva parole chiave sensibili, inviare le immagini direttamente ai cybercriminali. L’obiettivo principale degli hacker è trovare le frasi di recupero dei portafogli di criptovalute, che consentono loro di ottenere il pieno controllo e rubare il denaro. Oltre a estrarre queste informazioni importanti, SparkCat è in grado di raccogliere anche altri dati personali dagli screenshot, come messaggi e password.
“Si tratta del primo caso noto di malware basato su OCR diffuso nell’AppStore”, ha commentato Sergey Puzan, Malware Analyst di Kaspersky. “Al momento non è chiaro se le applicazioni presenti su App Store e Google Play siano state compromesse tramite un attacco alla supply chain o attraverso altri metodi. Alcune app, come quelle di food delivery, sembrano legittime, mentre altre sono chiaramente progettate come “esche” per attirare le vittime”.
“La campagna SparkCat presenta alcune caratteristiche uniche che la rendono particolarmente pericolosa. Innanzitutto, il malware si diffonde attraverso gli app store ufficiali e agisce senza lasciare segni evidenti di infezione., La sua velocità lo rende difficile da rilevare, sia per i moderatori che per gli utenti. Inoltre, le autorizzazioni richieste appaiono del tutto legittime quindi facili da ignorare. Ad esempio, l’accesso alla galleria fotografica che il malware tenta di raggiungere, può sembrare essenziale per il corretto funzionamento dell’app, così come appare dal punto di vista dell’utente. Permesso che viene solitamente richiesto in situazioni specifiche come quando gli utenti contattano l’assistenza clienti”, ha aggiunto Dmitry Kalinin, Malware Analyst di Kaspersky.
Analizzando le versioni per Android del malware, gli esperti di Kaspersky hanno rilevato alcuni commenti nel codice scritti in lingua cinese. Inoltre, la versione iOS contiene i nomi delle home directory degli sviluppatori, “qiongwu” e “quiwengjing”, il che suggerisce che gli attori della minaccia dietro la campagna conoscono bene il cinese. Tuttavia, non ci sono prove sufficienti per attribuire la campagna a un gruppo noto di cybercriminali.
Attacchi basati su Machine Learning
I cybercriminali prestano sempre più attenzione sull’uso delle reti neurali nei loro tool dannosi. Nel caso di SparkCat, il modulo Android decifra ed esegue un plug-in OCR utilizzando la libreria Google ML Kit per riconoscere il testo nelle immagini salvate. Un metodo simile è stato applicato anche nel modulo dannoso per iOS.
Le soluzioni Kaspersky proteggono gli utenti sia Android che iOS da SparkCat, rilevando il malware come HEUR:Trojan.IphoneOS.SparkCat.* e HEUR:Trojan.AndroidOS.SparkCat.*.
Il report completo su questa campagna è disponibile su Securelist.
Per evitare di diventare vittima di questo malware, Kaspersky consiglia di:
- Rimuovere dal dispositivo le applicazioni infette, se sono state installate, e non utilizzarle fino al rilascio di un aggiornamento che elimini le funzionalità dannose.
- Evitare di memorizzare nella propria galleria screenshot contenenti informazioni sensibili, comprese le frasi di recupero dei portafogli di criptovalute. Le password, ad esempio, possono essere memorizzate in applicazioni specializzate come Kaspersky Password Manager.
- Utilizzare un software di sicurezza informatica affidabile, come Kaspersky Premium, può prevenire eventuali rischi.
Threat Research
Il team Threat Research è leader nella protezione dalle minacce informatiche. Impegnandosi attivamente sia nell’analisi delle minacce che nello sviluppo di tecnologie, i nostri esperti TR garantiscono che le soluzioni di cybersecurity di Kaspersky siano sempre aggiornate ed estremamente efficienti, offrendo un’intelligence completa sulle minacce e una solida sicurezza ai clienti e alla community in generale.
Informazioni su Kaspersky
Kaspersky è un’azienda globale di cybersecurity e privacy digitale fondata nel 1997. Con oltre un miliardo di dispositivi protetti dalle minacce informatiche emergenti e dagli attacchi mirati, la profonda esperienza di Kaspersky in materia di sicurezza e di Threat Intelligence si trasforma costantemente in soluzioni e servizi innovativi per la sicurezza di aziende, infrastrutture critiche, governi e consumatori in tutto il mondo. Il portfolio completo dell’azienda comprende una protezione Endpoint leader, prodotti e servizi di sicurezza specializzati e soluzioni Cyber Immune per contrastare le minacce digitali sofisticate e in continua evoluzione. Aiutiamo oltre 200.000 aziende a proteggere ciò che più conta per loro. Per ulteriori informazioni è possibile consultare https://www.kaspersky.it/
Seguici su:
https://twitter.com/KasperskyLabIT
http://www.facebook.com/kasperskylabitalia
https://www.linkedin.com/company/kaspersky-lab-italia
https://www.instagram.com/kasperskylabitalia/
https://t.me/KasperskyItalia
