Kaspersky ha scoperto SparkCat, un nuovo trojan per il furto di dati, attivo su App Store e Google Play almeno da marzo 2024. È il primo caso noto di malware basato su riconoscimento ottico dei caratteri (OCR) presente nell’App Store. SparkCat utilizza algoritmi di machine learning per scansionare la galleria fotografica dei dispositivi degli utenti, recuperando screenshot contenenti informazioni sensibili come password e dettagli sui portafogli di criptovalute. Kaspersky ha segnalato a Google e Apple la presenza di applicazioni dannose sui rispettivi store.
Il malware si sta diffondendo sia tramite app legittime infette che attraverso applicazioni “esca” come app di messaggistica, assistenti AI, app di food delivery e app di criptovalute, alcune delle quali disponibili su Google Play e App Store. Secondo i dati telemetrici raccolti da Kaspersky, su Google Play queste app sono state scaricate oltre 242.000 volte, ma le versioni infette vengono distribuite anche attraverso fonti non ufficiali.
Una volta installato, SparkCat richiede l’accesso alla galleria fotografica dello smartphone dell’utente e analizza il testo delle immagini memorizzate tramite un modello OCR. Se rileva parole chiave sensibili, invia le immagini direttamente ai cybercriminali. L’obiettivo principale è trovare le frasi di recupero dei portafogli di criptovalute, che consentono loro di ottenere il pieno controllo e rubare il denaro. Oltre a queste informazioni, SparkCat è in grado di raccogliere altri dati personali dagli screenshot, come messaggi e password. Analizzando le versioni per Android del malware, gli esperti di Kaspersky hanno rilevato alcuni commenti nel codice scritti in lingua cinese. Inoltre, la versione iOS contiene i nomi delle home directory degli sviluppatori, “qiongwu” e “quiwengjing“, il che suggerisce che gli attori della minaccia dietro la campagna conoscono bene il cinese. Tuttavia, non ci sono prove sufficienti per attribuire la campagna a un gruppo noto di cybercriminali.
Per evitare di diventare vittima di questo malware, Kaspersky consiglia di:
- Rimuovere dal dispositivo le applicazioni infette, se installate, e non utilizzarle fino al rilascio di un aggiornamento che elimini le funzionalità dannose.
- Evitare di memorizzare nella propria galleria screenshot contenenti informazioni sensibili, comprese le frasi di recupero dei portafogli di criptovalute. Le password possono essere memorizzate in applicazioni specializzate come Kaspersky Password Manager.
- Utilizzare un software di sicurezza informatica affidabile
Aiutaci a crescere: lasciaci un like :)