Gli esperti di Kaspersky hanno scoperto un nuovo e sofisticato malware noto come SparkCat che sta mettendo a rischio la sicurezza di smartphone Android e iOS. Questo software dannoso si diffonde attraverso kit di sviluppo software (SDK) compromessi, nascosti all’interno di applicazioni all’apparenza innocue che, quando attivati, riescono a rubare dati sensibili dagli utenti.

SparkCat utilizza la tecnologia di riconoscimento ottico dei caratteri (OCR), normalmente utilizzata per leggere testi da immagini, per analizzare la galleria fotografica degli utenti con l’obiettivo di individuare chiavi di login di portafogli di criptovalute, spesso salvate incautamente dagli utenti all’interno di screenshot o note presenti all’interno dello smartphone.

Questo malware, attivo fin da marzo dello scorso anno, ha infettato decine di applicazioni, tra cui servizi di consegna e piattaforme di messaggistica basate su intelligenza artificiale, disponibili sia sul Google Play Store di Android che su App Store di iOS. Si tratta del primo caso noto di malware basato su OCR che riesce a penetrare anche all’interno della piattaforma di Apple.

Come agisce SparkCat su Android e iOS

Su Android, SparkCat si infiltra nelle applicazioni attraverso un SDK Java chiamato Spark, camuffato da modulo di analisi. Quando l’app infetta viene avviata, scarica un file di configurazione criptato che esegue la scansione delle immagini presenti sul dispositivo, cercando parole chiave legate a portafogli crypto in varie lingue.

Le immagini vengono poi inviate a server controllati dai cybercriminali, utilizzando infrastrutture cloud che rendono difficile monitorare il traffico a causa della crittografia dei dati. Per ridurre il rischio di essere individuato dalle misure di sicurezza presenti sul Play Store, il malware richiede l’accesso alla galleria soltanto quando l’utente esegue azioni specifiche all’interno dell’applicazione infetta.

Il funzionamento sui dispositivi iOS è molto simile: nascosto all’interno di framework malevoli integrati nelle app infette, SparkCat utilizza Google ML Kit per estrarre testi dalle immagini archiviate, eseguendo poi lo stesso iter di trasferimento delle immagini rubate verso server controllati dai cybercriminali.

Secondo le stime di Kaspersky, SparkCat ha già infettato più di 242.000 dispositivi in Europa e Asia, anche se non è ancora chiaro chi ci sia dietro a questo software dannoso. Gli esperti evidenziano anche che la versatilità di questo malware consente di rubare altre informazioni riservate, come contenuti di messaggi o password memorizzate all’interno degli screenshot, anche di applicazioni che poco hanno a che fare con portafogli di criptovalute.

Tra le app colpite da questo malware troviamo due applicazioni per chattare con l’intelligenza artificiale, come WeTink o AnyGPT, oltre ad un’applicazione cinese per la consegna di cibo a domicilio chiamata ComeCome, che è ancora possibile scaricare dall’App Store di iOS. Allo stato attuale l’unico modo per ridurre il rischio di esposizione è quello di non salvare dati sensibili come password o chiavi di login sotto forma di screenshot o note testuali.