I ricercatori di Kaspersky hanno identificato Una campagna di malware, soprannominata Sparkcat, che distribuisce applicazioni dannose su entrambe le piattaforme Android e iOS dal marzo 2024. Questo malware impiega il riconoscimento ottico dei caratteri (OCR) per scansionare le librerie fotografiche per frasi di recupero del portafoglio di criptovaluta.
“Kaspersky Threat Research Expercese Center ha scoperto un nuovo Trojan, SparkCat, attivo in Appstore e Google Play da almeno marzo 2024. Questa è la prima istanza nota di malware basato sul riconoscimento ottico che appare in Appstore. SparkCat utilizza l’apprendimento automatico per scansionare le gallerie di immagini e rubare schermate contenenti frasi di recupero del portafoglio di criptovaluta. Può anche trovare ed estrarre altri dati sensibili nelle immagini, come le password. “
-Kaspersky
Kaspersky identifica il malware Sparkcat che mira a portafogli cripto su iOS e Android
IL indagineCondotto da Dmitry Kalinin e Sergey Puzan, hanno osservato che mentre alcune delle app colpite, come i servizi di consegna di cibo, sembrano legittimi, altre sembrano ingannare deliberatamente gli utenti. Il 6 febbraio, Kaspersky ha confermato che le applicazioni interessate erano state rimosse dall’App Store, con Apple che ha riportato la cancellazione di 11 app che condividevano il codice con altre 89 app precedentemente respinte o rimosse a causa di problemi di sicurezza.
Il malware è stato trovato principalmente in un’app iOS chiamata ComeCome, che appare anche su Google Play. Secondo Kaspersky, questa app è progettata per sequestrare l’accesso alla criptovaluta degli utenti catturando screenshot contenenti frasi di recupero, indicate anche come frasi di semi. Il malware opera utilizzando un kit di sviluppo software dannoso (SDK) che decrittica un plug -in OCR, che facilita la scansione di schermate di dispositivi mobili.
Kaspersky ha sottolineato che le applicazioni di Google Play infette sono state scaricate oltre 242.000 volte. Questo incidente segna la prima scoperta di un’app infetta da spyware OCR nell’App Store di Apple, sfidando la nozione di infallibilità della piattaforma contro le minacce di malware.
Malware flessibile-Ferret target per gli utenti Mac facendo misure XProtect
Il malware non solo si rivolge alle frasi di recupero del portafoglio cripto, ma è anche abbastanza flessibile da estrarre altre informazioni sensibili dalla galleria, come messaggi o password acquisite nelle schermate. I ricercatori hanno sottolineato che le richieste di autorizzazioni del malware possono apparire benigne o necessarie, consentendole di eludere il rilevamento.
Si stima che la campagna di malware Sparkcat si prenda di mira per gli utenti Android e iOS principalmente in Europa e in Asia. Kaspersky ha osservato che il metodo esatto di infezione è ancora sotto inchiesta, in quanto non possono confermare se Sparkcat sia stato introdotto attraverso un attacco della catena di approvvigionamento o azioni per lo sviluppatore dannoso.
Nei risultati correlati, Spark comprende un modulo offuscato identificato come Spark, scritto principalmente in Java, che comunica con un server di comando e controllo (C2) remoto tramite un protocollo a base di ruggine. Dopo la connessione al server C2, il malware utilizza l’interfaccia TexTrecognizer della libreria ML di Google Kit per estrarre il testo dalle immagini.
Ulteriori analisi hanno rivelato che la natura ingannevole del malware gli consente di fuorviare gli utenti nel concedere l’accesso alle loro librerie fotografiche dopo aver acquisito screenshot di frasi di recupero. Il rapporto dettagliato di Kaspersky ha dichiarato che “le autorizzazioni che richiedono potrebbero sembrare necessarie per la sua funzionalità di base o apparire innocue a prima vista”.
Credito immagine in primo piano: Kerem Gülen/ideogramma
