Ricercatori Kaspersky scoprono una campagna di malware che colpisce gli utenti crypto attraverso app infette distribuite negli store ufficiali.
Gli esperti di cybersecurity di Kaspersky Sergey Puzan e Dmitry Kalinin hanno identificato una minaccia chiamata SparkKitty, un malware progettato specificamente per rubare le seed phrase Bitcoin e di altre criptovalute dai dispositivi mobili degli utenti.
Il malware SparkKitty utilizza tecnologie di riconoscimento ottico dei caratteri (OCR) per individuare e sottrarre le seed phrase direttamente dagli screenshot salvati sui dispositivi delle vittime.
La particolarità di tale minaccia risiede nella sua capacità di infiltrarsi attraverso canali apparentemente sicuri, inclusi gli store di applicazioni ufficiali di Google Play Store e Apple App Store.
I ricercatori di Kaspersky hanno identificato la campagna SparkKitty come successore del precedente malware SparkCat. La nuova variante ha ampliato le sue capacità operative, non limitandosi più al furto mirato delle seed phrase, ma estendendo la sua azione a qualsiasi tipo di informazione sensibile presente nelle gallerie fotografiche dei dispositivi.
Due app utilizzate per diffondere il malware erano incentrate sul mondo crypto. La prima, nota come 币coin, si presentava come un’app di monitoraggio delle informazioni sulle criptovalute ed era disponibile sull’App Store. La seconda era SOEX, un’app di messaggistica con “funzionalità di crypto exchange” presente su Google Play. SOEX ha raggiunto oltre 10.000 installazioni sullo store di Google prima della rimozione a seguito della segnalazione di Kaspersky.
Gli analisti di Kaspersky hanno inizialmente individuato la campagna SparkKitty mentre monitoravano collegamenti sospetti che promuovevano versioni modificate dell’app TikTok per Android. Tali applicazioni alterate eseguivano codice malware aggiuntivo quando gli utenti avviavano le attività principali dell’app. Le versioni infette delle applicazioni TikTok iOS richiedevano permessi di accesso alla galleria fotografica durante l’avvio, una funzionalità assente nelle versioni autentiche di TikTok.
I principali obiettivi di tale campagna malware sono gli utenti nel Sud-Est asiatico e in Cina, secondo quanto rilevato da Kaspersky, poiché le app infette includono vari giochi d’azzardo cinesi, TikTok e giochi per adulti.
