Il nuovo malware SparkKitty colpisce oltre 5.000 utenti crypto tramite le app Apple e Google

Una nuova forma di spyware mobile sta sfruttando i punti deboli dei sistemi di recensione delle app di Apple e Google per prendere di mira gli utenti di criptovalute nel sud-est asiatico e in Cina.

Soprannominato SparkKitty, il malware si concentra sul furto di screenshot di frasi seed di portafogli memorizzate nelle gallerie dei telefoni cellulari.

I ricercatori di sicurezza informatica di Kaspersky hanno rivelato che lo spyware è stato incorporato all'interno di applicazioni apparentemente legittime, tra cui tracker di portafogli di criptovalute e versioni modificate di app popolari come TikTok.

La campagna malware, che fa risalire la sua discendenza a una variante precedente nota come SparkCat, è attiva almeno da aprile 2024.

Alcuni esempi di app risalgono a molto tempo fa.

Una volta installato, SparkKitty utilizza autorizzazioni ingannevoli e la tecnologia di riconoscimento ottico dei caratteri (OCR) per identificare e trasmettere immagini contenenti testo sensibile come le seed phrase, un vettore di attacco con gravi implicazioni per chiunque memorizzi le proprie frasi di recupero sui propri dispositivi.

Le app criptovalute infette hanno aggirato la sicurezza del negozio

L'analisi di Kaspersky mostra che SparkKitty si è infiltrato con successo nel Google Play Store ufficiale e nell'App Store di Apple.

Le applicazioni interessate, tra cui Soex Wallet Tracker e Coin Wallet Pro, si sono camuffate da strumenti crittografici che offrono servizi di monitoraggio in tempo reale, gestione del portafoglio e portafoglio multi-chain.

In un caso, Soex Wallet Tracker è stato scaricato oltre 5.000 volte prima di essere cancellato.

Secondo quanto riferito, Coin Wallet Pro, che si posiziona come un portafoglio digitale sicuro, ha guadagnato terreno attraverso le pubblicità sui social media e i canali Telegram.

Questi canali incoraggiavano gli utenti a scaricare l'app e a installare profili sviluppatore aggiuntivi, bypassando i normali meccanismi di revisione delle app.

Questo passaggio aggiuntivo ha consentito al malware di operare al di fuori delle protezioni sandbox standard che in genere limitano l'accesso alle gallerie fotografiche e ai dati di sistema.

Avvisando gli utenti durante attività specifiche come le chat di supporto, SparkKitty potrebbe ottenere l'accesso all'archiviazione delle foto.

Una volta concesso, ha utilizzato l'OCR per estrarre tutte le seed phrase visibili negli screenshot.

Queste frasi sono fondamentali per l'accesso e il recupero wallet crypto e perdere il controllo su di esse può portare alla perdita completa dei fondi.

Il malware SparkKitty mira al furto visivo di dati

A differenza del malware tradizionale che cerca l'accesso diretto alle app del portafoglio o alle chiavi private, l'attenzione di SparkKitty sulle gallerie di immagini indica uno spostamento verso lo sfruttamento delle abitudini di archiviazione visiva dei dati tra gli utenti.

Molte persone, in particolare i nuovi utenti di criptovalute, salvano gli screenshot delle seed phrase del loro portafoglio per comodità.

Questa pratica, sebbene scoraggiata dalla maggior parte dei fornitori di portafogli, rimane comune.

SparkKitty sfrutta questo comportamento scansionando migliaia di immagini sullo sfondo, alla ricerca di stringhe di parole che corrispondano ai formati di frase seme più comuni.

Una volta identificati, questi vengono rispediti ai server remoti controllati dagli aggressori.

Il modello di riconoscimento visivo del malware sembra ottimizzato per le lunghezze e i formati delle seed phrase utilizzati da portafogli popolari come MetaMask, Trust Wallet e Phantom.

Kaspersky ha dichiarato che, sebbene la maggior parte delle infezioni sembri concentrata nel sud-est asiatico e in Cina, il metodo di distribuzione delle app, tramite social media e app store, lo rende altamente scalabile.

Attacchi simili potrebbero essere facilmente reindirizzati ad altre regioni o basi di utenti con modifiche minime alla base di codice.

Apple e Google rimuovono le app, sistema di revisione sotto esame

In seguito all'avviso di Kaspersky, Apple e Google hanno rimosso le app contrassegnate dalle loro piattaforme.

Tuttavia, rimangono domande su come queste app siano riuscite a superare le recensioni iniziali.

L'uso dei profili degli sviluppatori per aggirare il sandboxing delle app suggerisce una vulnerabilità nelle strutture di autorizzazione del sistema operativo mobile, in particolare nei casi in cui gli utenti sono convinti a concedere un ampio accesso.

Kaspersky ha avvertito che la campagna potrebbe essere ancora attiva nei marketplace di app meno regolamentati o tramite download diretti di APK.

I team di sicurezza hanno monitorato modelli comportamentali simili nelle app più recenti, in particolare quelle associate a funzionalità solo crypto o strumenti di finanza decentralizzata (DeFi).

Per precauzione, gli utenti sono invitati a non salvare le seed phrase nelle loro gallerie fotografiche e ad evitare di installare profili sconosciuti o di concedere l'accesso alla galleria ad app non affidabili.

Anche diversi influencer di criptovalute e account di sicurezza su Twitter e Telegram hanno diffuso avvertimenti sull'incidente.

Il team di Kaspersky continua a monitorare l'infrastruttura di rete di SparkKitty e ha condiviso gli indicatori di compromissione con le autorità informatiche competenti.