Il malware di nome SparkKitty è stato incorporato in app relative a criptovalute e gioco d’azzardo, oltre che in un’app TikTok già infettata, ed è stato distribuito su App Store e Google Play, oltre che su siti web fraudolenti. Gli esperti suggeriscono che l’obiettivo degli aggressori sia quello di rubare le criptovalute ai residenti del sud-est asiatico e della Cina. Nonostante questo, anche gli utenti degli altri Paesi, compresa l’Italia, sono potenzialmente a rischio di subire una minaccia informatica simile.
Kaspersky ha informato Google e Apple delle app dannose. Alcuni dettagli tecnici suggeriscono che la nuova campagna di malware sia collegata al Trojan SparkCat, scoperto in precedenza, un malware (il primo del suo genere su iOS) con un modulo OCR (Optical Character Recognition) incorporato che gli permette di scansionare gallerie di immagini e rubare schermate contenenti frasi di recupero di portafogli di criptovalute o password. SparkKitty è il secondo caso in un anno in cui i ricercatori di Kaspersky hanno trovato un Trojan stealer su App Store, dopo SparkCat.
iOS
Su App Store, il trojan fingeva di essere un’applicazione legata alle criptovalute — 币coin. Allo stesso tempo, sulle pagine di phishing che imitano l’App Store ufficiale dell’iPhone, il malware è stato distribuito sotto le sembianze di TikTok e di applicazioni per il gioco d’azzardo.
Pagina web che imita AppStore per installare una presunta app di TikTok
attraverso gli strumenti per sviluppatori
“Uno dei vettori per la distribuzione del Trojan sembra essere costituito da siti web falsi in cui gli aggressori hanno cercato di infettare gli iPhone delle vittime. iOS ha diversi modi legittimi per installare programmi non prevenienti dall’App Store. In questa campagna dannosa, gli aggressori hanno utilizzato uno di questi strumenti speciali per sviluppatori per la distribuzione di applicazioni aziendali. Nella versione infetta di TikTok, durante l’autorizzazione, il malware, oltre a rubare le foto della galleria dello smartphone, ha incorporato dei link a un negozio sospetto nella finestra del profilo della persona. Questo negozio accetta solo criptovalute, il che aumenta le nostre preoccupazioni”, ha spiegato Sergey Puzan, Malware Expert at Kaspersky.
Android
Gli aggressori hanno preso di mira gli utenti sia su siti web di terze parti che su Google Play, presentando il malware come un servizio di criptovaluta. Ad esempio, una delle applicazioni infette – un messenger chiamato SOEX con funzione di scambio di criptovalute – è stata scaricata dallo store ufficiale oltre 10.000 volte.
Presunta app di scambio di criptovalute, SOEX, su Google Play
Gli esperti hanno anche trovato file APK di app infette (che possono essere installate direttamente sugli smartphone Android aggirando gli store ufficiali) su siti web di terze parti che probabilmente sono collegati alla campagna dannosa rilevata. Sono posizionate come progetti di investimento in criptovalute. I siti web su cui sono state pubblicate queste applicazioni erano pubblicizzati sui social network, compreso YouTube.
“Dopo l’installazione, le app funzionavano come promesso nella loro descrizione. Ma allo stesso tempo, le foto della galleria dello smartphone venivano inviate agli aggressori. Gli aggressori possono poi cercare di trovare dati riservati nelle immagini, ad esempio frasi di recupero di portafogli di criptovalute per accedere ai beni delle vittime. Ci sono segnali indiretti digitali delle persone: molte delle app infette erano legate alle criptovalute e l’app TikTok oggetto del Trojan aveva anche un negozio integrato che accettava il pagamento di beni solo in criptovalute“, ha aggiunto Dmitry Kalinin, Malware Expert di Kaspersky.
Per proteggersi da questo tipo di minacce malware
Kaspersky raccomanda di
- Rimuovere immediatamente dal dispositivo l’applicazione infetta installata e non utilizzarla finché non verrà rilasciato un aggiornamento per eliminare le funzionalità dannose.
- Evitare di memorizzare nella galleria schermate contenenti informazioni sensibili, comprese le frasi di recupero dei portafogli di criptovalute. Le password, ad esempio, possono essere memorizzate in applicazioni specializzate come Kaspersky Password Manager.
- Utilizzare un software di sicurezza informatica affidabile, come Kaspersky Premium, per prevenire le infezioni da malware. Grazie alle caratteristiche strutturali del sistema operativo Apple, la soluzione Kaspersky per iOS mostra all’utente un avviso se rileva un tentativo di trasferimento di dati al server di comando dell’aggressore e lo blocca.
- Se un’applicazione chiede il permesso di accedere alla galleria fotografica del telefono, valutare se sia davvero necessario.
