Trojan sofisticato aggira la sicurezza di Apple e Google per raccogliere frasi seed di criptovaluta dalle foto dei dispositivi mobili, segnando una significativa escalation negli attacchi mirati alle criptovalute.
I ricercatori di cybersecurity di Kaspersky hanno scoperto una nuova campagna di malware mobile sofisticata denominata "SparkKitty" che è riuscita a infiltrarsi sia nell'App Store di Apple che nel Google Play Store, compromettendo oltre 5.000 utenti di criptovaluta in tutta la Cina e il Sud-Est asiatico.
Il malware si concentra sul furto di screenshot di frasi seed di portafoglio memorizzate nelle gallerie dei telefoni mobili, rappresentando un'evoluzione significativa negli attacchi mirati alle criptovalute che sfruttano le vulnerabilità fondamentali della sicurezza mobile.
Il malware è attivo almeno dall'inizio del 2024, secondo l'ultimo rapporto di sicurezza di Kaspersky rilasciato questa settimana. Diversamente dai metodi tradizionali di distribuzione del malware, SparkKitty ha raggiunto un successo notevole incorporandosi in applicazioni dall'apparenza legittima su entrambe le principali piattaforme mobili, inclusi strumenti di monitoraggio dei prezzi delle criptovalute, applicazioni di gioco d'azzardo e versioni modificate di popolari app social come TikTok.
L'aspetto più preoccupante di questa campagna è il superamento riuscito del rigoroso processo di revisione dell'App Store di Apple e dei sistemi di sicurezza Play Protect di Google. Un'app di messaggistica compromessa, SOEX, ha raggiunto oltre 10.000 download prima della rilevazione e rimozione, dimostrando la capacità del malware di operare inosservato all'interno degli ecosistemi app ufficiali per periodi prolungati.
Metodologia avanzata di raccolta dati
SparkKitty rappresenta un avanzamento tecnico significativo rispetto al suo predecessore, SparkCat, che è stato identificato per la prima volta nel gennaio 2025. Diversamente dai malware tradizionali che mirano selettivamente a dati sensibili, SparkKitty ruba indiscriminatamente tutte le immagini dai dispositivi infetti, creando database completi di foto degli utenti che vengono successivamente caricate su server remoti per l'analisi.
Il malware opera attraverso un sofisticato processo multi-stadio. Una volta installato tramite profili di provisioning ingannevoli, SparkKitty richiede le autorizzazioni di accesso standard alla galleria delle foto - una richiesta che sembra routinaria alla maggior parte degli utenti. Una volta ottenuto l'accesso, il trojan monitora continuamente la libreria di foto del dispositivo per eventuali cambiamenti, creando database locali di immagini catturate prima di trasmetterle ai server controllati dagli attaccanti.
I ricercatori di Kaspersky sottolineano che l'obiettivo principale degli attaccanti sembra essere l'identificazione e l'estrazione di frasi seed di portafogli di criptovaluta dagli screenshot memorizzati sui dispositivi infetti. Queste frasi di recupero di 12-24 parole forniscono accesso completo alle risorse digitali degli utenti, rendendole obiettivi estremamente preziosi per i criminali informatici.
L'emergere di SparkKitty si verifica in un contesto di escalation dei crimini informatici focalizzati sulle criptovalute. Secondo l'analisi del 2024 di TRM Labs, quasi il 70% dei 2,2 miliardi di dollari in criptovalute rubate derivano da attacchi all'infrastruttura, in particolare quelli che riguardano il furto di chiavi private e frasi seed. Solo nel gennaio 2025, 9.220 vittime hanno perso 10,25 milioni di dollari a causa di truffe di phishing su criptovalute, evidenziando la natura persistente e in evoluzione delle minacce mirate alle criptovalute.
L'attuale focus geografico del malware su Cina e Sud-Est asiatico riflette tendenze più ampie nell'adozione delle criptovalute e nella mira dei criminali informatici. Tuttavia, gli esperti di sicurezza avvertono che le capacità tecniche di SparkKitty e la sua efficacia dimostrata rendono altamente probabile un'espansione globale. La capacità del malware di infiltrarsi negli app store ufficiali suggerisce che nessun ecosistema mobile è immune agli attacchi sofisticati mirati alle criptovalute.
Evoluzione tecnica e attribuzione
L'analisi forense rivela connessioni significative tra SparkKitty e la campagna di malware SparkCat precedente. Entrambi i trojan condividono simboli di debug, modelli di costruzione del codice e diverse applicazioni vettoriali compromesse, suggerendo uno sviluppo coordinato da parte degli stessi attori della minaccia. Tuttavia, SparkKitty dimostra significativi affinamenti tecnici, inclusi migliorate capacità di raccolta dati e tecniche di evasione.
SparkCat mirava specificamente a frasi di recupero di portafogli di criptovaluta impiegando la tecnologia di riconoscimento ottico dei caratteri per estrarre queste frasi dalle immagini, mentre SparkKitty adotta un approccio più ampio estraendo tutti i dati delle immagini disponibili per un'elaborazione successiva. Questa evoluzione suggerisce che gli attaccanti stiano ottimizzando le loro operazioni per la massima efficienza nella raccolta dei dati riducendo al contempo l'elaborazione in-loco che potrebbe innescare avvisi di sicurezza.
La campagna SparkKitty espone vulnerabilità fondamentali nelle pratiche di sicurezza delle criptovalute mobili. Molti utenti screennano routinariamente le loro frasi seed per comodità, creando copie digitali che diventano i principali obiettivi per malware come SparkKitty. Questa pratica, seppur comprensibile da una prospettiva dell'esperienza utente, crea vulnerabilità di sicurezza critiche che attaccanti sofisticati stanno sfruttando sempre più.
I ricercatori di sicurezza sottolineano che la minaccia si estende oltre gli utenti individuali all'ecosistema delle criptovalute in generale. Ogni giorno, vengono rilevati 560.000 nuovi pezzi di malware, con le piattaforme mobili che diventano obiettivi sempre più attraenti mentre l'adozione delle criptovalute accelera a livello globale.
Il successo del malware nel bypassare le misure di sicurezza degli app store solleva anche questioni sull'efficacia degli attuali framework di sicurezza mobile. Sia Apple che Google hanno implementato processi di revisione sofisticati progettati per impedire che applicazioni dannose raggiungano gli utenti, eppure l'infiltrazione riuscita di SparkKitty dimostra che attaccanti determinati possono ancora eludere queste protezioni.
Risposta dell'industria e misure difensive
A seguito della divulgazione di Kaspersky, sia Apple che Google hanno avviato procedure di rimozione per le applicazioni identificate infettate da SparkKitty. Tuttavia, la natura dinamica della minaccia significa che nuove varianti potrebbero continuare a emergere, richiedendo una vigilanza continua sia dai ricercatori di sicurezza che dagli operatori degli app store.
Gli esperti di sicurezza delle criptovalute raccomandano misure difensive immediate per gli utenti di portafogli mobili. Le raccomandazioni principali includono l'evitare la memorizzazione digitale delle frasi seed, l'uso di portafogli hardware per possedimenti significativi e l'implementazione di rigorosi controlli delle autorizzazioni delle app. Si consiglia agli utenti di rivedere le gallerie fotografiche esistenti per eventuali credenziali di portafogli memorizzate ed eliminare immediatamente tali immagini.
L'incidente ha anche sollevato discussioni rinnovate sugli standard di sicurezza delle criptovalute mobili. I leader del settore stanno chiedendo requisiti di sicurezza migliorati per le applicazioni mobili correlate alle criptovalute, inclusi audit di sicurezza obbligatori e modelli di autorizzazione più severi per le applicazioni che gestiscono dati finanziari sensibili.
Mentre SparkKitty attualmente si concentra sui mercati asiatici, gli esperti di cybersecurity avvertono che l'espansione globale sembra inevitabile. L'efficacia dimostrata del malware e la natura universale dell'uso delle criptovalute mobili suggeriscono che i mercati occidentali potrebbero affrontare presto minacce simili. Entro il 2025, i crimini informatici - compresi gli attacchi guidati da malware - potrebbero costare all'economia globale 10,5 trilioni di dollari all'anno, con il malware mirato alle criptovalute che rappresenta una componente crescente di questo panorama minaccioso.
La natura sofisticata delle capacità di infiltrazione negli app store di SparkKitty suggerisce che campagne simili potrebbero già essere in corso in altre regioni. I ricercatori di sicurezza chiedono un miglioramento della cooperazione internazionale nel combattere il malware criptovalutario mobile, incluso un miglioramento della condivisione delle informazioni tra operatori di app store e organizzazioni di cybersecurity.
Valutazione delle minacce future
La campagna SparkKitty rappresenta una significativa escalation nelle minacce alle criptovalute mobili, combinando capacità tecniche sofisticate con meccanismi di distribuzione provati. Con l'adozione delle criptovalute che continua a espandersi a livello globale, è probabile che minacce simili aumentino sia in frequenza che in sofisticazione.
Gli esperti di sicurezza prevedono che future iterazioni di malware mirato alle criptovalute incorporeranno probabilmente tecniche aggiuntive di evasione, inclusi metodi di bypass degli app store migliorati e capacità di esfiltrazione dei dati più sofisticati. Il successo dell'approccio di raccolta foto di SparkKitty potrebbe ispirare ulteriori famiglie di malware ad adottare metodologie simili, creando un ambiente minaccioso in crescita per gli utenti di criptovalute mobili.
L'incidente evidenzia l'importanza critica di pratiche di sicurezza robuste per i titolari di criptovalute mobili. Con i valori delle risorse digitali che continuano a salire e l'adozione che si espande, i dispositivi mobili rappresentano obiettivi sempre più attraenti per organizzazioni criminali informatiche sofisticate.
Gli utenti devono adattare le loro pratiche di sicurezza di conseguenza, dando priorità all'uso di portafogli hardware e eliminando la memorizzazione digitale delle frasi seed per proteggere i loro possedimenti di criptovalute dalle minacce evolutive del malware mobile.