Kaspersky Labs ha identificato una sofisticata campagna malware che prende di mira gli utenti di criptovalute attraverso kit di sviluppo software dannosi integrati in app mobili disponibili su Google Play e l'Apple App Store. Nominato "SparkCat", questo malware utilizza il riconoscimento ottico dei caratteri per scansionare le foto degli utenti alla ricerca di frasi di recupero del portafoglio di criptovalute, che gli hacker poi utilizzano per accedere e svuotare i portafogli interessati.
In un report dettagliato del 4 febbraio 2025, i ricercatori Kaspersky Sergey Puzan e Dmitry Kalinin dettagliato hanno esaminato come il malware SparkCat penetra nei dispositivi e ricerca immagini per le frasi di recupero tramite il rilevamento di parole chiave in più lingue. Una volta ottenute queste frasi, gli aggressori ottengono accesso illimitato ai portafogli crypto delle vittime. Gli hacker ottengono così il pieno controllo sui fondi, come sottolineato dai ricercatori.
Inoltre, il malware è progettato per rubare informazioni sensibili aggiuntive, come password e messaggi privati catturati negli screenshot. In particolare, sui dispositivi Android, SparkCat si maschera come un modulo di analisi basato su Java chiamato Spark. Il malware riceve aggiornamenti operativi da un file di configurazione criptato su GitLab e utilizza il Kit ML di Google OCR per estrarre testo dalle immagini sui dispositivi infetti. Il rilevamento di una frase di recupero porta il malware a inviare le informazioni agli aggressori, permettendo loro di importare il portafoglio crypto della vittima sui loro dispositivi.
Kaspersky stima che dalla sua comparsa nel marzo 2023, SparkCat sia stato scaricato circa 242.000 volte, impattando principalmente gli utenti in Europa e Asia.
In un rapporto separato ma correlato da metà 2024, Kaspersky ha monitorato un'altra campagna malware Android che coinvolge APK ingannevoli come Tria Stealer, che intercetta messaggi SMS e cronologia delle chiamate, e ruba dati Gmail.
La presenza di questo malware si estende su numerose app, alcune apparentemente legittime come i servizi di consegna cibo, e altre progettate per attirare utenti sprovveduti, come app di messaggistica abilitate all'IA. Le caratteristiche comuni tra queste app infette includono l'uso del linguaggio di programmazione Rust, capacità cross-platform e metodi di offuscamento sofisticati per sfuggire al rilevamento.
Le origini di SparkCat rimangono poco chiare. I ricercatori non hanno attribuito il malware a nessun gruppo di hacker noto ma hanno notato commenti in lingua cinese e messaggi di errore all'interno del codice, suggerendo una conoscenza fluente del cinese da parte dello sviluppatore. Sebbene condivida somiglianze con una campagna scoperta da ESET nel marzo 2023, la sua fonte precisa rimane non identificata.
Kaspersky consiglia vivamente agli utenti di non memorizzare informazioni sensibili come frasi di recupero per portafogli crypto nelle loro gallerie fotografiche. Invece, raccomandano di utilizzare gestori di password e di eseguire regolarmente la scansione e l'eliminazione di applicazioni sospette.
Le scoperte sono state originariamente riportate su 99Bitcoins nell'articolo intitolato "Malicious SDKs on Google Play and App Store Steal Crypto Seed Phrases: Kaspersky."