Kaspersky avverte: un nuovo malware crypto ruba le seed phrase da iOS e Android
Crediamo nella completa trasparenza con i nostri lettori. Alcuni dei nostri contenuti includono link di affiliazione e potremmo guadagnare una commissione attraverso queste partnership. Tuttavia, questa potenziale compensazione non influenza mai le nostre analisi, opinioni o pareri. I nostri contenuti editoriali vengono creati indipendentemente dalle nostre partnership di marketing e le nostre valutazioni si basano esclusivamente sui nostri criteri di valutazione stabiliti. Per saperne di più clicca qui.
I ricercatori di Kaspersky hanno scoperto una nuova e sofisticata campagna di malware mobile chiamata “SparkKitty”, che è riuscita a infiltrarsi sia nell’App Store di Apple sia nel Google Play Store, prendendo di mira in modo particolare gli screenshot contenenti le seed phrase dei wallet crypto salvati nelle gallerie fotografiche degli utenti.
Il malware, evoluzione del tristemente noto SparkCat, utilizza la tecnologia di riconoscimento ottico dei caratteri (OCR) per scansionare ed estrarre immagini contenenti informazioni sensibili da dispositivi iOS e Android.
Attivo già da febbraio 2024, ha colpito soprattutto nel Sud-est asiatico e in Cina, tramite app infette mascherate da modifiche di TikTok, tracker per wallet crypto, giochi d’azzardo e applicazioni per adulti che richiedono l’accesso alla galleria fotografica con motivazioni apparentemente legittime.
Il monito di Kaspersky
Questi criminali informatici sono riusciti a bypassare con successo le misure di sicurezza ufficiali degli app store, distribuendo applicazioni infette che apparivano legittime sia ai sistemi di controllo automatizzati sia ai revisori umani.
Due esempi rilevanti sono:
- Soex Wallet Tracker, che si spacciava per un’app di gestione crypto ed è stata scaricata oltre 5.000 volte da Google Play;
- Coin Wallet Pro, che si presentava come un wallet multi-chain sicuro, promosso tramite annunci sui social media e canali Telegram.
Sui dispositivi iOS, il malware si mascherava spesso da versioni modificate di framework popolari come AFNetworking o Alamofire, sfruttando il sistema di profili di provisioning Enterprise di Apple, che consente alle aziende di distribuire app interne senza passare per l’App Store.
Sebbene questo meccanismo sia legittimo per uso aziendale, ha fornito ai criminali informatici una porta d’accesso per installare applicazioni non firmate, in grado di aggirare i normali controlli di sicurezza di Apple. In alcuni casi, gli hacker sono arrivati al punto di creare versioni modificate di librerie open-source legittime, mantenendone le funzionalità originali ma aggiungendo codice malevolo per ottenere accesso ai dati sensibili.
Il framework AFNetworking compromesso, per esempio, manteneva tutte le sue funzionalità di rete originali ma nascondeva un modulo malevolo per il furto di foto attraverso una classe chiamata AFImageDownloaderTool, attivata in fase di avvio dell’app grazie al meccanismo load di Objective-C.
Questo approccio permetteva al malware di restare inattivo fino a quando non venivano soddisfatte determinate condizioni, come la navigazione da parte dell’utente a schermate di supporto o chat, dove le richieste di accesso alla galleria foto apparivano naturali e poco sospette.
Sui dispositivi Android, il malware usava metodi di distribuzione altrettanto sofisticati, inserendo codice malevolo direttamente nei punti di ingresso dell’app e sfruttando temi legati al mondo crypto per attrarre le vittime.
OCR: Quando le foto diventano miniere d’oro digitali
La caratteristica più pericolosa di SparkKitty è l’impiego di una sofisticata tecnologia di riconoscimento ottico dei caratteri (OCR), capace di identificare ed estrarre automaticamente informazioni legate alle criptovalute dalle gallerie fotografiche degli utenti, senza necessità di analisi manuale da parte dei malintenzionati.
A differenza dei malware precedenti, che rubavano grandi quantità di immagini per poi analizzarle manualmente, SparkKitty integra la libreria Google ML Kit per scansionare le foto alla ricerca di pattern testuali specifici. Tra le informazioni più ricercate: seed phrase, chiavi private e indirizzi wallet, spesso salvati tramite screenshot nonostante le raccomandazioni di sicurezza contrarie.
Secondo Kaspersky, l’implementazione OCR del malware dimostra una sofisticata capacità di riconoscimento dei pattern, in grado di filtrare automaticamente le immagini in base al contenuto testuale e inviare solo quelle contenenti dati crypto a server di comando e controllo (C2). Il sistema analizza blocchi di testo con un numero minimo di parole e caratteri, distinguendo così tra foto comuni e potenzialmente ricche di informazioni finanziarie.
Questo approccio mirato riduce il volume di dati trasmessi ma massimizza il valore delle informazioni rubate, consentendo agli attaccanti di compromettere più vittime in modo più efficiente.
Durante l’indagine, Kaspersky ha scoperto varianti ancora più sofisticate, inclusi malware che inducono le vittime a rivelare la seed phrase tramite avvisi di sicurezza falsi, con messaggi come:
“Esegui il backup della chiave del wallet nelle impostazioni entro 12 ore oppure perderai l’accesso.”
Queste sovrapposizioni (overlay) di ingegneria sociale guidano l’utente fino alla visualizzazione della propria seed phrase, che viene poi intercettata direttamente dal malware grazie a un registratore di accessibilità, senza dover più contare esclusivamente sugli screenshot.
Le implicazioni di questa campagna superano il semplice furto individuale, estendendosi a operazioni sistematiche di cryptomining. Campagne correlate attribuite al gruppo “Librarian Ghouls” ne sono un esempio, visto che combinano il furto di credenziali con l’estrazione non autorizzata di Monero su dispositivi compromessi.
Questi attacchi generano flussi di reddito continui per i cybercriminali che, non solo sottraggono criptovalute esistenti, ma sfruttano anche le risorse computazionali delle vittime per fare il mining di ulteriori asset digitali. Di fatto, i dispositivi compromessi si trasformano in infrastrutture profittevoli per lunghi periodi.
- L’intelligenza artificiale prevede il prezzo di XRP per il 1° agosto 2025
- L’AI di ChatGPT ha previsto quando XRP raggiungerà i 5 dollari
- L’intelligenza artificiale di Grok prevede il prezzo di XRP
- Causa legale XRP: Ripple ha pagato $125 milioni in contanti
- Previsioni prezzo XRP: investitori in allerta per il 14, 21 e 25 luglio
Perché puoi fidarti di noi
- L’intelligenza artificiale prevede il prezzo di XRP per il 1° agosto 2025
- L’AI di ChatGPT ha previsto quando XRP raggiungerà i 5 dollari
- L’intelligenza artificiale di Grok prevede il prezzo di XRP
- Causa legale XRP: Ripple ha pagato $125 milioni in contanti
- Previsioni prezzo XRP: investitori in allerta per il 14, 21 e 25 luglio
Altri articoli in evidenza
in numbers
