Kaspersky Labs ha identificato una campagna di malware sofisticata che prende di mira gli utenti di criptovalute tramite kit di sviluppo software malevoli incorporati in app mobili disponibili su Google Play e sull'Apple App Store. Chiamato "SparkCat", questo malware utilizza il riconoscimento ottico dei caratteri per scansionare le foto degli utenti alla ricerca di frasi di recupero del portafoglio di criptovalute, che gli hacker utilizzano poi per accedere e svuotare i portafogli interessati.
In un rapporto completo datato 4 febbraio 2025, i ricercatori di Kaspersky Sergey Puzan e Dmitry Kalinin hanno dettagliato come il malware SparkCat infili i dispositivi e cerchi immagini per frasi di recupero tramite rilevamento di parole chiave multilingue. Una volta ottenute queste frasi, gli aggressori ottengono accesso illimitato ai portafogli crypto delle vittime. Gli hacker ottengono così il pieno controllo sui fondi, come sottolineato dai ricercatori.
Inoltre, il malware è progettato per rubare informazioni sensibili aggiuntive, come password e messaggi privati catturati in screenshot. Specificamente sui dispositivi Android, SparkCat si maschera da modulo di analisi basato su Java chiamato Spark. Il malware riceve aggiornamenti operativi da un file di configurazione crittografato su GitLab e utilizza l'OCR di Google ML Kit per estrarre testo dalle immagini sui dispositivi infetti. La rilevazione di una frase di recupero porta il malware a inviare le informazioni agli aggressori, consentendo loro di importare il portafoglio crypto della vittima sui loro dispositivi.
Kaspersky stima che, dalla sua comparsa nel marzo 2023, SparkCat sia stato scaricato circa 242.000 volte, colpendo prevalentemente utenti in Europa e Asia.
In un rapporto separato ma correlato della metà del 2024, Kaspersky ha monitorato un'altra campagna di malware Android che coinvolge APK ingannevoli come Tria Stealer, che intercetta messaggi SMS e registri delle chiamate e ruba dati di Gmail.
La presenza di questo malware si estende a numerose app, alcune apparentemente legittime come i servizi di consegna di cibo, e altre progettate per attrarre utenti ignari, come le app di messaggistica abilitate all'IA. Le caratteristiche comuni tra queste app infette includono l'uso del linguaggio di programmazione Rust, capacità multipiattaforma e metodi di offuscamento sofisticati per eludere il rilevamento.
Le origini di SparkCat rimangono poco chiare. I ricercatori non hanno attribuito il malware a nessun gruppo di hacker noto, ma hanno notato commenti e messaggi di errore in lingua cinese all'interno del codice, suggerendo la conoscenza del cinese da parte dello sviluppatore. Sebbene condivida somiglianze con una campagna scoperta da ESET nel marzo 2023, la sua fonte precisa rimane non identificata.
Kaspersky sconsiglia vivamente agli utenti di memorizzare informazioni sensibili come le frasi di recupero del portafoglio crypto nelle loro gallerie fotografiche. Invece, raccomandano di utilizzare gestori di password e di scansionare regolarmente per eliminare applicazioni sospette.
I risultati sono stati originariamente riportati su 99Bitcoins nell'articolo intitolato "SDK malevoli su Google Play e App Store rubano frasi di seme crypto: Kaspersky."
