Vi ricordate di SparkCat, malware che ha preso di mira le credenziali di criptovalute su Android e iOS? Ebbene, a circa un anno dalla prima scoperta e dalla rimozione, gli esperti di Kaspersky ne hanno individuata una nuova variante in grado di aggirare i sistemi di sicurezza di Google Play Store e App Store.

Segui TuttoAndroid su Google Discover

Offerta

roborock Qrevo Curv 2 Flow

Offerta + clicca su applica coupon di 50 euro + coupon: TTANDROID5

519€ invece di 899€
-42%
Amazon

SparkCat è tornato e sa il fatto suo: nuova variante infetta app di Play Store e App Store

La nuova versione di SparkCat è molto subdola, dato che viene diffusa attraverso app legittime compromesse, come ad esempio app di messaggistica per la comunicazione aziendale o app per la consegna di cibo a domicilio (già segnalate sia a Google sia ad Apple). Gli esperti di sicurezza di Kaspersky hanno individuato in particolare due applicazioni infette sull’App Store di Apple e una sul Google Play Store, dalle quali il codice dannoso è stato nel frattempo rimosso. I dati indicano inoltre che le app infettate dal nuovo malware vengono distribuite anche tramite fonti di terze parti: in alcuni casi sembra che alcune pagine web riescano a simulare l’App Store quando vengono aperte da iPhone.

La variante aggiornata del trojan per Android è in grado di eseguire una scansione delle immagini sui dispositivi compromessi, alla ricerca di schermate contenenti parole chiave specifiche (come le frasi di recupero dei portafogli di criptovalute), in particolare in giapponese, coreano e cinese: secondo quanto riferito dagli esperti, la nuova campagna dovrebbe dunque essere rivolta soprattutto alle criptovalute degli utenti asiatici. La variante pensata per iOS agisce in modo diverso, cercando frasi mnemoniche dei portafogli di criptovalute, generalmente in inglese (e quindi può risultare potenzialmente più diffusa).

La variante aggiornata di SparkCat richiede, in determinati casi, l’accesso alla galleria fotografica dello smartphone dell’utente, proprio come la primissima versione del trojan“, ha affermato Sergey Puzan, Cybersecurity Expert di Kaspersky. “Analizza il testo contenuto nelle immagini memorizzate utilizzando un modulo di riconoscimento ottico dei caratteri. Se il malware individua parole chiave rilevanti, invia l’immagine agli autori dell’attacco. Considerando le somiglianze tra il campione attuale e quello precedente, riteniamo che gli sviluppatori della nuova versione del malware siano gli stessi. Questa campagna sottolinea ancora una volta l’importanza di utilizzare soluzioni di sicurezza per smartphone, per proteggersi da un’ampia gamma di minacce informatiche“.

Per quanto riguarda Android, la nuova versione di SparkCat dispone di diversi livelli di offuscamento, come la virtualizzazione del codice e l’uso di linguaggi di programmazione multipiattaforma. Secondo Kaspersky, parliamo di tecniche relativamente rare per quanto riguarda i malware per dispositivi mobili. “Il malware SparkCat rappresenta una minaccia mobile in continua evoluzione“, ha aggiunto l’esperto di Kaspersky Dmitry Kalinin. “I suoi autori ne aumentano costantemente la complessità delle tecniche anti-analisi, consentendogli di eludere i processi di revisione degli app store ufficiali. Inoltre, i metodi utilizzati, come la virtualizzazione del codice e l’uso di linguaggi di programmazione multipiattaforma, sono rari nel panorama del malware mobile. Questo dimostra l’elevato livello di competenza degli autori della minaccia“.

Le app infette su Google Play Store e App Store:

  • Google Play Store (APK)
    • com.crownplay.vanity.address
    • com.atvnewsonline.app
    • com.bintiger.mall.android
    • com.websea.exchange
    • org.safew.messenger
    • org.safew.messenger.store
    • com.tonghui.paybank
    • com.bs.feifubao
    • com.sapp.chatai
    • com.sapp.starcoin
  • App Store
    • com.atvnewsonline.app
    • com.wukongwaimai.client
    • com.lc.btdj
    • com.feidu.pay
    • com.wetink.chat
    • com.websea.exchange
    • xyz.starohm.chat
    • com.crownplay.luckyaddress1
    • com.safew.messenger
    • com.thpay.bank
    • io.aicean.chat

Come difendersi dal malware e da minacce simili

Come abbiamo appurato in diversi casi, non sempre affidarsi agli store ufficiali come Google Play Store e App Store può mettere al 100% al riparo da malware e da altre minacce informatiche. Occorre quindi fare sempre un po’ di attenzione a cosa andiamo a installare sui nostri smartphone (Android e iOS) e ai permessi richiesti.

Un altro consiglio che riguarda da vicino questa nuova versione di SparkCat è quello di evitare di salvare nella galleria immagini e screenshot contenenti dati e informazioni sensibili, soprattutto se legati ai portafogli di criptovalute. Chi vuole stare più tranquillo può affidarsi a un software di sicurezza: sul Play Store ce ne sono diversi tra cui scegliere.

Per maggiori dettagli sul funzionamento del malware SparkCat potete seguire questo link.

Potrebbe interessarti: