Il mondo delle criptovalute è sempre più esposto a minacce di sicurezza, e recentemente è stato scoperto un nuovo malware chiamato “SparkCat” che sta causando preoccupazioni tra gli utenti di iOS e Android. Questo malware utilizza un kit di sviluppo software malizioso (SDK) per rubare le chiavi private delle borse di criptovaluta, mettendo in pericolo i fondi degli utenti. In questo articolo, esploreremo come funziona il malware, quali sono le app colpite e come proteggersi da questa minaccia.
Come funziona il malware SparkCat
Il malware SparkCat è stato scoperto da Kaspersky e si è infiltrato in diverse app popolari, tra cui app di consegna di cibo e messaggi AI. Questo malware utilizza la tecnologia di riconoscimento ottico di caratteri (OCR) per scansionare le gallerie delle immagini dei dispositivi, cercando frasi di recupero delle borse di criptovaluta nascoste nelle schermate o nelle note salvate[1][4].
Funzionamento su Android
Sul sistema operativo Android, il malware è iniettato tramite un SDK Java chiamato “Spark”, che si nasconde sotto forma di modulo di analisi. Quando un’app infetta è lanciata, Spark recupera un file di configurazione crittografato da un repository GitLab remoto. Una volta attivo, SparkCat utilizza il kit ML di Google per scansionare la galleria delle immagini del dispositivo e cercare specifiche parole chiave relative alle frasi di recupero delle borse di criptovaluta in diverse lingue, come inglese, cinese, coreano, giapponese e varie lingue europee[1][4].
Funzionamento su iOS
Sul sistema operativo iOS, il malware opera attraverso un framework malizioso integrato nelle app infette, nascosto sotto nomi come “GZIP”, “googleappsdk” o “stat”. Questo framework, scritto in Objective-C e obfuscato con HikariLLVM, integra con il kit ML di Google per estrarre testo dalle immagini della galleria. Per evitare di sollevare sospetti, la versione iOS richiede l’accesso alla galleria solo quando gli utenti eseguono azioni specifiche, come aprire una chat di supporto[4].
App colpite
Secondo Kaspersky, sono state identificate 18 app Android e 10 app iOS infette, molte delle quali sono ancora disponibili nei rispettivi store di app. Una delle app segnalate come infetta da Kaspersky è l’app Android ChatAi, che è stata installata oltre 50.000 volte. Questa app non è più disponibile su Google Play[1][2].
Come proteggersi
Per proteggersi da questo malware, è importante seguire alcuni consigli di sicurezza:
- Verifica delle app: Controlla regolarmente le app installate sul tuo dispositivo e elimina qualsiasi app che sembra sospetta o inutile.
- Utilizza strumenti di sicurezza: Utilizza un antivirus mobile affidabile per scansionare i tuoi dispositivi e catturare potenziali minacce prima che diventino un problema.
- Storaggio sicuro delle frasi di recupero: Evita di memorizzare le frasi di recupero delle borse di criptovaluta come screenshot o foto. Invece, memorizzale su supporti di archiviazione offline crittografati o nel cassetto di un manager delle password autonome.
- Reset delle app: Se hai installato un’app infetta, considera un reset delle app e delle impostazioni di sicurezza per rimuovere eventuali minacce residue.
- Monitoraggio dei fondi: Se pensi che la tua borsa di criptovaluta sia compromessa, trasferisci i tuoi fondi in una nuova borsa con una nuova frase di recupero, ma solo dopo aver verificato che il tuo dispositivo sia pulito.
Il malware SparkCat rappresenta una minaccia seria per gli utenti di iOS e Android, poiché può rubare le chiavi private delle borse di criptovaluta senza che gli utenti se ne accorgano. È importante essere vigilanti e seguire i consigli di sicurezza per proteggere i propri fondi. Se hai installato un’app infetta, elimina immediatamente l’app e utilizza un antivirus mobile per scansionare i tuoi dispositivi. Inoltre, considera un reset delle app e delle impostazioni di sicurezza per rimuovere eventuali minacce residue.
