I ricercatori di Kasperky hanno individuato un nuovo trojan stealer, denominato SparkKitty, che permette di accedere alle immagini presenti sul dispositivo e successivamente ai wallet di criptovalute. Le funzionalità sono praticamente identiche a quella di SparkCat. Ecco perché è stato assegnato un nome simile.
App infette sugli store ufficiali
SparkCat integrava un modulo OCR che permetteva di cercare testo all’interno delle immagini, in particolare le frasi di recupero dei wallet di criptovalute. I ricercatori di Kaspersky hanno individuato su App Store e Google Play Store alcune app che contengono il nuovo malware SparkKitty.
Sul Play Store era presente un’app di messaggistica con funzionalità di crypto exchange (è stata rimossa da Google). Un’altra app infetta è stata distribuita tramite file APK ed era presente anche su App Store. Su un sito di phishing è stata inoltre trovata una pagina con un aspetto simile a quella dello store di Apple, dalla quale era possibile scaricare una versione fake di TikTok.
Per installare l’app fasulla su iPhone veniva chiesto il permesso di scaricare un profilo di configurazione, come quello usato dagli sviluppatori per testare le app. All’interno dell’app fake di TikTok c’era il link ad un store che accetta solo criptovalute.
Ad ogni avvio dell’app veniva chiesto il permesso di accedere alla galleria delle foto, come avviene per l’app legittima di TikTok. In questo caso, le immagini venivano inviate al server C2 (command and control) dei cybercriminali.
Queste app infette per Android e iOS servono quindi per trovare foto contenenti dati sensibili, in particolare le “seed phrase” dei wallet di criptovalute. I cybercriminali possono così accedere al portafoglio e rubare tutte le monete digitali.