Una nuova variante del malware SparkCat è stata individuata all’interno di app presenti su Google Play Store e App Store, a distanza di circa un anno dalla prima scoperta e dalla successiva rimozione. Gli esperti di Kaspersky hanno confermato che questa versione aggiornata è riuscita ad aggirare i sistemi di sicurezza di entrambi gli store, dimostrando un livello di sofisticazione decisamente superiore rispetto al passato.
Il punto critico, stavolta, è il metodo di diffusione. SparkCat non si nasconde dentro app palesemente sospette, ma si annida in app legittime compromesse: parliamo di applicazioni di messaggistica pensate per la comunicazione aziendale e persino app per la consegna di cibo a domicilio. Due app infette sono state individuate sull’App Store di Apple e una sul Google Play Store, e il codice dannoso è stato nel frattempo rimosso dopo la segnalazione sia a Google sia ad Apple. Ma non finisce qui: i dati raccolti mostrano che le app infettate vengono distribuite anche attraverso fonti di terze parti, con alcune pagine web capaci addirittura di simulare l’interfaccia dell’App Store quando vengono aperte da iPhone.
La variante aggiornata del trojan per Android esegue una scansione delle immagini presenti sui dispositivi compromessi, cercando schermate che contengano parole chiave specifiche. In particolare, punta alle frasi di recupero dei portafogli di criptovalute, con un’attenzione particolare verso testi in giapponese, coreano e cinese. Questo fa pensare che la campagna sia rivolta soprattutto agli utenti asiatici. La variante per iOS, invece, funziona in modo leggermente diverso: cerca frasi mnemoniche dei portafogli di criptovalute generalmente in inglese, il che la rende potenzialmente più diffusa a livello globale.
Come agisce SparkCat e perché è così difficile da individuare
Sergey Puzan, Cybersecurity Expert di Kaspersky, ha spiegato il meccanismo: “La variante aggiornata di SparkCat richiede, in determinati casi, l’accesso alla galleria fotografica dello smartphone dell’utente, proprio come la primissima versione del trojan. Analizza il testo contenuto nelle immagini memorizzate utilizzando un modulo di riconoscimento ottico dei caratteri. Se il malware individua parole chiave rilevanti, invia l’immagine agli autori dell’attacco.” Puzan ha aggiunto che, considerando le somiglianze tra il campione attuale e quello precedente, gli sviluppatori della nuova versione sarebbero gli stessi della prima.
Per quanto riguarda Android, la nuova versione di SparkCat dispone di diversi livelli di offuscamento, tra cui la virtualizzazione del codice e l’uso di linguaggi di programmazione multipiattaforma. Tecniche che, secondo Kaspersky, risultano relativamente rare nel panorama dei malware per dispositivi mobili. Dmitry Kalinin, altro esperto di Kaspersky, ha commentato: “Il malware SparkCat rappresenta una minaccia mobile in continua evoluzione. I suoi autori ne aumentano costantemente la complessità delle tecniche anti analisi, consentendogli di eludere i processi di revisione degli app store ufficiali. Questo dimostra l’elevato livello di competenza degli autori della minaccia.”
Come proteggersi da SparkCat e da minacce simili
La lezione che emerge, ancora una volta, è che affidarsi esclusivamente agli store ufficiali non garantisce una protezione al 100% contro malware e altre minacce informatiche. Serve sempre un minimo di attenzione a cosa si installa e, soprattutto, ai permessi richiesti dalle app, sia su Android che su iOS.
Un consiglio particolarmente rilevante nel caso di SparkCat riguarda la gestione delle immagini: è fondamentale evitare di salvare nella galleria screenshot o foto contenenti dati sensibili, specialmente se legati ai portafogli di criptovalute. Chi desidera un livello di protezione aggiuntivo può valutare l’installazione di un software di sicurezza dedicato, di cui sul Play Store si trova un’ampia scelta.
