Apple ha eliminato dall’App Store le app nelle quali era stato individuato SparkCat, un nuovo trojan per il furto di dati.
Come abbiamo spiegato qui, si tratta del primo caso noto di malware basato su riconoscimento ottico (OCR) presente nell’App Store.
SparkCat sfrutta algoritmi di machine learning per scansionare la galleria fotografica dei dispositivi degli utenti, individure screenshot contenenti informazioni sensibili, come password e dettagli sui portafogli di criptovalute.
Kaspersky ha individuato il malware in alcune app distribuite sia sull’App Store, sia sul PlayStore, segnalando a Google e Apple la presenza di applicazioni dannose sui rispettivi store.
SparkCat sfrutta app app apparentemente innocenti, applicazioni “esca” come app di messaggistica, assistenti AI, app di food delivery, app di criptovalute e altre ancora. L’obiettivo sembrano essere stati principalmente utenti di Emirati Arabi Uniti, dell’Europa e dell’Asia.
Dopo avere chiesto il permesso di accedere alla galleria, il malware scansiona la galleria fotografica alla ricerca di parole chiave in lingue diverse, tra cui cinese, giapponese, coreano, inglese, ceco, francese, italiano, polacco e portoghese. I testi nelle immagini vengono analizzati con tecnologia di iconoscimento ottico dei caratteri (OCR). Se lo stealer rileva parole chiave sensibili, invia le immagini direttamente ai cybercriminali.
L’obiettivo principale dei cybercriminali è individuare frasi per il recupero dei portafogli di criptovalute che consentono di ottenere il pieno controllo e rubare il denaro. Oltre a estrarre queste informazioni importanti, SparkCat è in grado di raccogliere anche altri dati personali dagli screenshot, come messaggi e password.
Analizzando le versioni per Android del malware, gli esperti di Kaspersky hanno rilevato alcuni commenti nel codice scritti in lingua cinese. Inoltre, la versione iOS contiene i nomi delle home directory degli sviluppatori, “qiongwu” e “quiwengjing”, il che suggerisce che gli attori della minaccia dietro la campagna conoscono bene il cinese. Tuttavia, non ci sono prove sufficienti per attribuire la campagna a un gruppo noto di cybercriminali.
Per evitare di diventare vittima di malware di questo tipo il consiglio è di riflettere prima di concedere il permesso ad app qualsiasi di accedere alla galleria fotografica, e soprattutto di Evitare di memorizzare nella propria galleria screenshot contenenti informazioni sensibili, comprese le frasi di recupero dei portafogli di criptovalute.
Per tutte le notizie sulla sicurezza informatica rimandiamo alla sezione dedicata di macitynet.
