Malware SparkCat
Una campagna di minacce recentemente scoperta, denominata SparkCat, si è infiltrata sia nell'App Store di Apple che in Google Play utilizzando app ingannevoli progettate per raccogliere frasi di recupero del portafoglio di criptovaluta. Queste applicazioni, camuffate da servizi legittimi, estraggono segretamente frasi mnemoniche dai dispositivi delle vittime, mettendo a rischio le risorse digitali.
Sommario
Sfruttare l’OCR per raccogliere frasi di recupero del portafoglio
SparkCat sfrutta un modello avanzato di riconoscimento ottico dei caratteri (OCR) per analizzare le librerie di foto degli utenti alla ricerca di immagini contenenti frasi di recupero del portafoglio. Una volta rilevate, queste immagini sensibili vengono esfiltrate su un server remoto Command-and-Control (C2). La campagna prende il nome da un kit di sviluppo software (SDK) incorporato che include un componente Java chiamato Spark, che si maschera da modulo di analisi. Non è ancora chiaro se questa infiltrazione sia il risultato di un attacco alla supply chain o sia stata deliberatamente introdotta dagli sviluppatori.
Entrare nell’App Store di Apple
Sebbene minacce Android con capacità OCR siano già emerse in precedenza, SparkCat rappresenta uno dei primi casi di un attacco del genere che si è fatto strada nell'App Store di Apple. Su Google Play, le applicazioni compromesse sono state scaricate oltre 242.000 volte prima di essere rimosse da entrambe le piattaforme il 7 febbraio 2025.
Un’operazione multipiattaforma
Le prove suggeriscono che SparkCat è attivo da marzo 2024. Le sue applicazioni non sicure sono distribuite tramite app store ufficiali e di terze parti. Le applicazioni fraudolente impersonano strumenti di intelligenza artificiale, servizi di consegna di cibo e piattaforme Web3, con alcune che forniscono persino funzionalità apparentemente legittime per evitare sospetti.
Come SparkCat raccoglie i dati
Sui dispositivi Android, il malware decifra e attiva un plug-in OCR basato sulla libreria ML Kit di Google. Esegue la scansione delle gallerie di immagini alla ricerca di testo che corrisponda a parole chiave predefinite dal suo server C2. Tutte le immagini segnalate vengono quindi trasmesse agli aggressori.
La variante iOS di SparkCat utilizza l'esatto meccanismo OCR basato su ML Kit per identificare ed estrarre informazioni sensibili. In modo unico, questa versione impiega anche un framework di comunicazione basato su Rust per interagire con il suo server C2, una tattica non comune nelle minacce mobili.
Chi c’è dietro l’attacco?
L'analisi delle parole chiave utilizzate e dei modelli di distribuzione suggerisce che SparkCat ha come target principalmente utenti in Europa e Asia. Le prove indicano che gli attori della minaccia parlano fluentemente cinese, anche se la loro identità esatta rimane sconosciuta.
Un Trojan furtivo travestito
Ciò che rende SparkCat particolarmente ingannevole è la sua capacità di operare senza far scattare segnali d'allarme. I permessi che richiede sembrano necessari per le funzionalità pubblicizzate dall'applicazione o innocui, consentendogli di mimetizzarsi senza destare sospetti. Questo approccio furtivo rende più difficile per gli utenti riconoscere la minaccia prima che i loro wallet di criptovaluta vengano compromessi.
