Malware SparkCat: una minaccia per i portafogli crittografici mobili

Le app mascherate prendono di mira i portafogli di criptovaluta

È stata trovata una minaccia nota come SparkCat Malware che si infiltra negli app store di Apple e Google. Questa campagna impiega applicazioni fraudolente per raccogliere informazioni sensibili dagli utenti, prendendo di mira in modo specifico frasi mnemoniche associate ai wallet di criptovaluta. Incorporando componenti dannosi in applicazioni apparentemente legittime, gli operatori dietro SparkCat hanno creato un mezzo efficace per rubare informazioni di recupero critiche da vittime ignare.

La campagna si basa su un avanzato sistema di riconoscimento ottico dei caratteri (OCR) per scansionare ed estrarre testo dalle immagini archiviate sui dispositivi infetti. Questo processo consente al malware di identificare e catturare frasi di recupero, che vengono poi trasmesse a un server remoto controllato dagli aggressori. Le implicazioni di questo metodo sono particolarmente preoccupanti, poiché consente agli attori della minaccia di aggirare le tradizionali misure di sicurezza e ottenere accesso non autorizzato alle risorse digitali.

Come funziona il malware SparkCat

Al centro della campagna SparkCat c'è un kit di sviluppo software (SDK) incorporato che include un componente Java chiamato Spark, che si presenta falsamente come un modulo di analisi. I ricercatori stanno ancora indagando se questo SDK sia stato introdotto tramite un compromesso della supply chain o se gli sviluppatori lo abbiano deliberatamente incluso nelle loro applicazioni.

SparkCat è stato trovato all'interno di applicazioni mascherate da strumenti di intelligenza artificiale (AI), servizi di consegna di cibo e app correlate a Web3. Mentre alcune di queste applicazioni forniscono funzionalità legittime limitate, in ultima analisi servono come veicolo per il vero obiettivo del malware: raccogliere frasi di recupero da immagini archiviate. Una volta attivato il modulo dannoso, il malware decifra e distribuisce un plugin OCR creato utilizzando la libreria ML Kit di Google per analizzare le gallerie di immagini alla ricerca di parole chiave specifiche collegate ai wallet di criptovaluta.

Espansione oltre Android verso iOS

Mentre minacce che sfruttano la tecnologia OCR sono state precedentemente rilevate su Android, SparkCat segna uno dei primi casi di tale tattica che appare nell'App Store di Apple. La variante iOS del malware segue una metodologia simile, utilizzando la libreria ML Kit di Google per estrarre dati dalle immagini. Inoltre, il malware incorpora tecniche di comunicazione basate su Rust per le sue funzioni di comando e controllo (C2), un approccio insolito per le minacce basate su dispositivi mobili.

I report suggeriscono che SparkCat è stato distribuito attivamente da marzo 2024, con le app interessate distribuite tramite app store ufficiali e di terze parti. Alcune applicazioni che ospitavano questo codice dannoso hanno accumulato oltre 242.000 download prima della loro rimozione, il che indica che una base di utenti significativa potrebbe essere stata esposta.

Le implicazioni di questo attacco

Il rischio principale associato al malware SparkCat risiede nella sua capacità di rubare frasi di recupero del portafoglio di criptovaluta. Queste frasi sono una misura di sicurezza critica, che consente agli utenti di ripristinare l'accesso ai propri asset digitali in caso di dispositivo perso o compromesso. Se queste frasi finiscono nelle mani sbagliate, gli autori della minaccia possono trasferire fondi dai portafogli interessati, lasciando alle vittime poche o nessuna possibilità di recupero.

Oltre alle perdite finanziarie, l'operazione di SparkCat evidenzia anche preoccupazioni più ampie in merito alla sicurezza delle app. Il fatto che questo malware sia riuscito a infiltrarsi sia nell'App Store di Apple che in Google Play sottolinea potenziali lacune nei processi di verifica delle applicazioni pubblicate. Gli utenti che si affidano agli app store ufficiali per le garanzie di sicurezza potrebbero non essere sempre al sicuro da minacce sofisticate come SparkCat.

Chi c'è dietro SparkCat?

L'analisi della funzionalità del malware, della selezione delle parole chiave e delle regioni di distribuzione suggerisce che la campagna ha come target principalmente utenti in Europa e Asia. Inoltre, i ricercatori hanno indicato che gli individui responsabili di SparkCat mostrano una padronanza del cinese, indicando una potenziale regione di origine per gli aggressori. Tuttavia, l'attribuzione definitiva rimane uno sforzo in corso.

Una delle caratteristiche distintive di SparkCat è la sua capacità di operare in modo discreto. I permessi richiesti dalle app infette sembrano innocui e spesso sono in linea con le loro presunte funzionalità. Questo approccio ingannevole rende difficile per gli utenti riconoscere la presenza di una minaccia nascosta nel software che scaricano.

Lezioni da SparkCat e minacce emergenti

L'emergere di SparkCat rafforza l'importanza della vigilanza quando si installano applicazioni, anche da fonti ufficiali. Gli esperti di sicurezza informatica raccomandano di esaminare attentamente le autorizzazioni delle app, di esaminare attentamente le recensioni degli utenti e di verificare la legittimità degli sviluppatori prima di scaricare qualsiasi nuovo software. Mentre i criminali informatici continuano ad affinare le loro tattiche, gli utenti devono rimanere cauti e proattivi nel salvaguardare le proprie informazioni sensibili.

Le tendenze recenti indicano anche un numero crescente di minacce che prendono di mira i sistemi macOS e i dispositivi mobili. La crescente popolarità delle criptovalute e delle risorse digitali le ha rese un bersaglio allettante per i criminali informatici, sottolineando ulteriormente la necessità di pratiche di sicurezza avanzate. SparkCat è un duro promemoria del fatto che anche le piattaforme digitali consolidate non sono immuni alle minacce emergenti.

Risposta del settore e misure di protezione

In seguito alla scoperta di SparkCat, sia Apple che Google hanno preso provvedimenti per rimuovere le applicazioni incriminate dai rispettivi store. A partire dall'inizio di febbraio 2025, queste app non sono più disponibili per il download. Google ha anche confermato che gli utenti Android sono automaticamente protetti dalle versioni note di questo malware tramite la sua funzione Play Protect.

Sebbene queste azioni riducano alcuni dei rischi immediati, gli utenti che hanno precedentemente installato una delle applicazioni interessate dovrebbero adottare misure proattive per proteggere i propri dispositivi. Controllare l'accesso non autorizzato ai wallet di criptovaluta, rimuovere le app sospette e aggiornare le impostazioni di sicurezza sono tutte misure consigliate per ridurre al minimo i potenziali danni.

Conclusione

La campagna malware SparkCat esemplifica la crescente sofisticatezza delle minacce informatiche che prendono di mira gli utenti di criptovalute. Sfruttando le vulnerabilità dell'app store e sfruttando tecniche OCR avanzate, gli aggressori hanno dimostrato un nuovo livello di ingegnosità nel furto digitale. Andando avanti, rimanere informati sulle minacce emergenti e adottare rigide pratiche di sicurezza informatica saranno essenziali per mantenere la sicurezza digitale.

Entro il Willa
February 10, 2025
Android Malware, Mac Malware, Malware, Scam
Italiano
February 10, 2025
Android Malware, Mac Malware, Malware, Scam

Post popolari

Cos'è il file OperaGXSetup.exe ed è dannoso?

11 months fa

Eporner.com e perché i suoi pop-up eccessivi sono rischiosi

12 days fa

Prendi nota: qualcuno ti ha aggiunto come truffa tramite email...

10 months fa

HackTool:Win32/Crack: una minaccia dannosa che può danneggiare...

7 months fa

Una minaccia potenzialmente seria: Trojan:Win32/Suschil!rfn

19 days fa

Cos'è la minaccia del cavallo di Troia Packunwan e come può...

11 months fa
Italiano
Caricamento in corso...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Prodotti

Cyclonis Password Manager Cyclonis World Time

Supporto

File di aiuto FAQs Downloads Inquiries & Support

Azienda

Riguardo a noi Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politica sulla riservatezza Gestione dei Cookie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows è un marchio di Microsoft, registrato negli Stati Uniti e in altri paesi.
Mac, iPhone, iPad e App Store sono marchi di Apple Inc., registrati negli Stati Uniti e in altri paesi.
iOS è un marchio registrato di Cisco Systems, Inc. e/o delle sue affiliate negli Stati Uniti e in alcuni altri paesi.
Android e Google Play sono marchi di Google LLC.