Kaspersky ha individuato una nuova variante di SparkCat, il trojan mobile progettato per sottrarre criptovalute agli utenti, capace questa volta di aggirare nuovamente i controlli di sicurezza di App Store e Google Play. A un anno dalla prima scoperta e successiva rimozione, il malware riappare nascosto in app dall’aspetto legittimo e punta ancora una volta a un obiettivo preciso: cercare nelle gallerie fotografiche degli utenti le frasi di recupero dei wallet crypto, cioè le chiavi che consentono di accedere ai fondi digitali.
Nuove app compromesse sugli store ufficiali
Secondo quanto comunicato dal team Kaspersky Threat Research, la nuova campagna è stata veicolata tramite applicazioni apparentemente affidabili, tra cui strumenti di messaggistica pensati per la comunicazione aziendale e un’app dedicata alla consegna di cibo a domicilio. Gli esperti hanno identificato due app infette su App Store e una su Google Play, dalle quali il codice malevolo è stato poi rimosso.
Il dato più rilevante, però, è un altro: la minaccia non si limita agli store ufficiali. La telemetria raccolta da Kaspersky mostra che app compromesse da SparkCat sono state distribuite anche attraverso fonti di terze parti, incluse pagine web capaci di simulare l’interfaccia dell’App Store quando vengono aperte da un iPhone. Un dettaglio che segnala una strategia più sofisticata rispetto al passato e che amplia il perimetro di diffusione del malware.
Come agisce la nuova variante di SparkCat
Il funzionamento del trojan resta centrato sull’analisi delle immagini archiviate nello smartphone. La variante aggiornata per Android esamina gli screenshot presenti nella galleria e cerca parole chiave specifiche in giapponese, coreano e cinese. Per Kaspersky questo elemento suggerisce che la campagna sia orientata soprattutto a colpire utenti asiatici e a intercettare informazioni legate ai portafogli di criptovalute.
Diverso, invece, l’approccio scelto per iPhone. La versione iOS del malware cerca direttamente le frasi mnemoniche dei wallet, generalmente in lingua inglese. Questo aspetto rende la minaccia potenzialmente più ampia sul fronte Apple, perché non si limita a una specifica area geografica e può prendere di mira utenti di diversi Paesi.
In alcuni casi, spiegano i ricercatori, SparkCat richiede l’accesso alla galleria fotografica dello smartphone, proprio come accadeva nella sua prima incarnazione. Una volta ottenuti i permessi, usa un modulo di riconoscimento ottico dei caratteri per leggere il testo contenuto nelle immagini. Se individua parole o combinazioni ritenute interessanti, invia l’immagine ai server controllati dagli attaccanti.
Tecniche più avanzate per sfuggire ai controlli
Uno degli aspetti che più preoccupa gli analisti riguarda l’evoluzione tecnica del malware. La nuova variante Android presenta infatti più livelli di offuscamento, compresa la virtualizzazione del codice e l’uso di linguaggi di programmazione multipiattaforma. Si tratta di tecniche considerate ancora relativamente rare nel panorama del malware mobile e proprio per questo più efficaci nell’eludere le verifiche automatiche e manuali adottate dagli store.
Sergey Puzan, Cybersecurity Expert di Kaspersky, sottolinea che le somiglianze tra il campione attuale e quello rilevato in precedenza portano a ritenere che dietro la nuova ondata di attacchi possano esserci gli stessi sviluppatori. Dmitry Kalinin, anche lui esperto di cybersicurezza in Kaspersky, aggiunge che SparkCat rappresenta una minaccia mobile in continua evoluzione e che la crescente complessità delle tecniche anti-analisi dimostra un elevato livello di competenza da parte degli autori.
Perché il caso SparkCat è un campanello d’allarme
La vicenda riporta al centro un tema spesso dato per scontato: scaricare un’app da uno store ufficiale non equivale automaticamente a essere al sicuro. App Store e Google Play restano i canali più controllati, ma casi come questo mostrano che software malevoli ben costruiti possono comunque superare, almeno temporaneamente, i sistemi di revisione.
Il bersaglio scelto da SparkCat è poi particolarmente delicato. Molti utenti, per comodità, salvano sul telefono screenshot con dati sensibili, comprese le seed phrase dei portafogli crypto. È proprio questa abitudine a trasformare la galleria fotografica in un archivio ad alto rischio. Se il malware trova la frase corretta, i criminali informatici possono potenzialmente svuotare il wallet senza lasciare margini di recupero.
Le raccomandazioni di Kaspersky agli utenti
Per ridurre il rischio, Kaspersky invita gli utenti a usare un software di sicurezza affidabile per dispositivi mobili, evitare di conservare nella galleria screenshot contenenti informazioni sensibili e prestare attenzione anche alle applicazioni scaricate dagli store ufficiali. In particolare, l’azienda suggerisce di custodire seed phrase, documenti importanti e credenziali in applicazioni specializzate per la gestione sicura dei dati.
La minaccia viene rilevata dai prodotti Kaspersky con i verdict HEUR:Trojan.AndroidOS.SparkCat* e HEUR:Trojan.IphoneOS.SparkCat*. Un dettaglio tecnico che fotografa un fenomeno già monitorato, ma che evidenzia anche quanto rapidamente i malware mobile stiano cambiando forma, linguaggio e tecniche di evasione per continuare a colpire gli utenti proprio nei luoghi digitali considerati più affidabili.
