È stato emesso un grave avviso di sicurezza per gli utenti di iPhone e Android, dopo che i ricercatori di cybersecurity hanno scoperto app dannose presenti sia nel Google Play Store che nell’Apple App Store, in grado di rubare le credenziali dei portafogli di criptovalute. Secondo Kaspersky, questo è il primo caso noto di un trojan che utilizza la tecnologia OCR (Optical Character Recognition) per spiare le app iOS ufficiali scaricate dall’App Store.
Come funziona il malware?
Questo attacco rappresenta un’evoluzione delle minacce precedenti, in cui i malware rubavano i dati dagli appunti per intercettare le credenziali dei portafogli crypto. Il nuovo metodo, denominato SparkCat, è molto più avanzato: scansiona la galleria immagini dell’utente utilizzando la tecnologia OCR per estrarre il testo dagli screenshot, in particolare quelli contenenti frasi di recupero per portafogli di criptovalute. In questo modo, gli hacker possono ottenere il controllo completo dei portafogli delle vittime senza che queste debbano copiare o incollare nulla.
SparkCat utilizza un protocollo basato su Rust, il che è insolito per un malware mobile, per comunicare con il proprio server di comando e controllo (C2). Secondo l’analisi di Kaspersky, il malware è attivo almeno da marzo 2024, anche se è stato scoperto solo di recente.
App infette su Android e iOS
Questa campagna malware sta colpendo applicazioni su entrambe le piattaforme mobili, con oltre 242.000 download su Android. Kaspersky ha confermato che versioni dannose delle stesse app sono state trovate sia su Google Play che sull’App Store, e una delle prime identificate è stata “ComeCome”, un’app di consegna cibo attiva negli Emirati Arabi Uniti e in Indonesia.
Una delle scoperte più preoccupanti è che l’App Store di Apple—considerato a lungo il più sicuro ecosistema mobile—è stato compromesso. Finora, nessuna spyware basata su OCR era mai stata rilevata nelle app ufficiali di iOS, il che rappresenta una violazione significativa dei protocolli di sicurezza di Apple.
>>>UM08A31 per Acer Aspire One AOA 150-Aw 150-BW 150-BGw 150-Ac 150-BGc 150-Bw1
Lista delle app infette
App infette su Android (Google Play Store)
- com.crownplay.vanity.address
- com.atvnewsonline.app
- com.bintiger.mall.android
- com.websea.exchange
- org.safew.messenger
- org.safew.messenger.store
- com.tonghui.paybank
- com.bs.feifubao
- com.sapp.chatai
- com.sapp.starcoin
App infette su iOS (App Store)
- im.pop.app.iOS.Messenger
- com.hkatv.ios
- com.atvnewsonline.app
- io.zorixchange
- com.yykc.vpnjsq
- com.llyy.au
- com.star.har91vnlive
- com.jhgj.jinhulalaab
- com.qingwa.qingwa888lalaaa
- com.blockchain.uttool
- com.wukongwaimai.client
- com.unicornsoft.unicornhttpsforios
- staffs.mil.CoinPark
- com.lc.btdj
- com.baijia.waimai
- com.ctc.jirepaidui
- com.ai.gbet
- app.nicegram
- com.blockchain.ogiut
- com.blockchain.98ut
- com.dream.towncn
- com.mjb.hardwood.Test
- com.galaxy666888.ios
- njiujiu.vpntest
- com.qqt.jykj
- com.ai.sport
- com.feidu.pay
- app.ikun277.test
- com.usdtone.usdtoneApp2
- com.cgapp2.wallet0
- com.bbydqb
- com.yz.Byteswap.native
- jiujiu.vpntest
- com.wetink.chat
- com.websea.exchange
- com.customize.authenticator
- im.token.app
- com.mjb.WorldMiner.new
- com.kh-super.ios.superapp
- com.thedgptai.event
- com.yz.Eternal.new
- xyz.starohm.chat
- com.crownplay.luckyaddress1
Cosa fare se hai una di queste app?
Se hai installato una delle app sopra elencate, eliminala immediatamente. Anche se gli sviluppatori rilasciano un aggiornamento, è più sicuro disinstallare l’app e reinstallarla solo dopo aver confermato che sia stata corretta.
Kaspersky avverte che queste app sembrano normali e le autorizzazioni richieste non destano sospetti, rendendole particolarmente pericolose. Poiché il malware opera in background, gli utenti potrebbero non accorgersi dell’infezione fino a quando i loro portafogli crypto non vengono compromessi.
Come proteggersi
- Evita di salvare screenshot con informazioni sensibili
- Se scatti screenshot di frasi di recupero, password o chiavi private di portafogli crypto, eliminali immediatamente. Usa invece un password manager sicuro o un hardware wallet.
- Fai attenzione quando scarichi app
- Anche le app su Google Play Store e App Store possono essere infette. Controlla sempre le recensioni, verifica lo sviluppatore, ed evita app appena lanciate con pochi download.
- Aggiorna il tuo software di sicurezza
- Usa una soluzione di sicurezza affidabile sul tuo dispositivo per rilevare malware. Attiva Google Play Protect o gli avvisi di sicurezza di Apple per monitorare eventuali attività sospette.
- Monitora i tuoi account crypto
- Se hai installato una delle app infette, controlla il tuo portafoglio crypto per transazioni non autorizzate. Se sospetti di essere stato compromesso, trasferisci i fondi su un nuovo portafoglio sicuro.
- Evita di usare wallet di terze parti non verificati
- Scarica le app di wallet solo da fonti ufficiali, come il sito dello sviluppatore o app store verificati.
La scoperta del malware SparkCat su Google Play Store e Apple App Store rappresenta una grave escalation delle minacce informatiche per gli utenti di portafogli crypto. L’uso della tecnologia OCR per spiare gli screenshot rende questo attacco particolarmente pericoloso, poiché anche solo salvare uno screenshot può mettere a rischio i tuoi fondi.
Anche se Apple e Google rimuoveranno probabilmente queste app infette dai loro store in seguito alle indagini di Kaspersky, gli utenti devono rimanere vigili. Data la sofisticazione di questo malware, è essenziale controllare le app installate, eliminare quelle sospette e riconsiderare il modo in cui si archiviano le informazioni sensibili sui dispositivi.
