Salvate i Dettagli del Vostro Wallet e la Frase Seed come Foto sul Vostro Telefono? Questo Trojan Potrebbe Rappresentare una Minaccia per Voi

Una nuova tipologia di spyware mobile, denominata SparkKitty, ha infiltrato l’App Store di Apple e Google Play, fingendosi app a tema crypto e app modificate per estrarre silenziosamente immagini di seed phrase e credenziali di wallet.

Il malware sembra essere un successore di SparkCat, una campagna scoperta all'inizio del 2025, che utilizzava moduli di chat di supporto falsi per accedere furtivamente alle gallerie degli utenti e esfiltrare screenshot sensibili.

SparkKitty porta la stessa strategia diversi passi avanti, hannoafferma il ricercatore di Kaspersky in un post di lunedì.

A differenza di SparkCat, che si diffonde prevalentemente tramite pacchetti Android non ufficiali, SparkKitty è stato confermato all’interno di diverse app iOS e Android disponibili attraverso gli store ufficiali, inclusa un'app di messaggistica con funzionalità di scambio crypto (con oltre 10.000 installazioni su Google Play) e un'app iOS chiamata “币coin,” mascherata da tracker di portafoglio.

Al centro della variante iOS vi è una versione armata del framework AFNetworking o Alamofire, dove gli attaccanti hanno inserito una classe personalizzata che si avvia automaticamente all’apertura dell’app tramite il selettore +load di Objective-C.

All’avvio, verifica un valore di configurazione nascosto, recupera un indirizzo di comando e controllo (C2) e scandisce la galleria dell’utente iniziando a caricare le immagini. Un indirizzo C2 istruisce il malware sulle azioni da compiere, come quando rubare dati o inviare file, e riceve le informazioni rubate.

La variante Android utilizza librerie Java modificate per raggiungere lo stesso obiettivo. L’OCR viene applicato tramite Google ML Kit per analizzare le immagini. Se viene rilevata una seed phrase o una chiave privata, il file viene contrassegnato e inviato ai server degli attaccanti.

L’installazione su iOS avviene tramite profili di provisioning enterprise, un metodo destinato alle app interne aziendali ma spesso sfruttato per malware.

Le vittime vengono ingannate a fidarsi manualmente di un certificato sviluppatore collegato a “SINOPEC SABIC Tianjin Petrochemical Co. Ltd.,” concedendo a SparkKitty permessi a livello di sistema.

Diversi indirizzi C2 utilizzano file di configurazione cifrati AES-256 ospitati su server offuscati.

Una volta decifrati, questi puntano a fetcher di payload e endpoint, come /api/putImages e /api/getImageStatus, dove l’app determina se caricare o ritardare la trasmissione delle foto.

I ricercatori di Kaspersky hanno scoperto altre versioni del malware che utilizzano una libreria OpenSSL spoofata (libcrypto.dylib) con logica di inizializzazione offuscata, indicando un set di strumenti in evoluzione e molteplici vettori di distribuzione.

Sebbene la maggior parte delle app sembri indirizzata a utenti in Cina e Sud-est asiatico, nulla nel malware ne limita la portata regionale.

Apple e Google hanno rimosso le app in questione dopo la divulgazione, ma la campagna probabilmente è attiva dall'inizio del 2024 e potrebbe ancora essere in corso tramite varianti side loaded e store clonati, hanno avvertito i ricercatori.

Leggi di più: Gli hacker nordcoreani prendono di mira le principali aziende crypto con malware nascosto nelle candidature di lavoro