L'ecosistema delle criptovalute si trova nuovamente sotto attacco da parte di cybercriminali sempre più sofisticati, che questa volta hanno puntato direttamente sui portafogli digitali degli utenti attraverso una campagna di malware distribuita sui principali store ufficiali.
La minaccia, identificata con il nome SparkKitty, rappresenta un'evoluzione preoccupante nel panorama della criminalità informatica, sfruttando la fiducia degli utenti negli app store di Google e Apple per infiltrarsi nei dispositivi e sottrarre informazioni sensibili. Gli esperti di sicurezza informatica di Kaspersky hanno scoperto come questo malware riesca a eludere i controlli di sicurezza, raggiungendo migliaia di download prima di essere individuato e rimosso.
La strategia di SparkKitty si basa su un approccio tanto semplice quanto efficace: il furto indiscriminato di tutte le immagini presenti nella galleria fotografica dei dispositivi infetti. Questa tecnica mira principalmente alle foto che contengono le frasi di recupero dei portafogli crittografici, quelle sequenze di parole che permettono di ripristinare l'accesso ai fondi digitali. Nonostante gli esperti sconsiglino categoricamente di fotografare queste informazioni sensibili, molti utenti continuano a farlo per comodità, trasformando i propri dispositivi in bersagli appetibili per i criminali informatici.
La campagna malevola ha preso piede almeno dal febbraio 2024, infiltrandosi attraverso applicazioni apparentemente legittime come 币coin sull'Apple App Store e SOEX su Google Play. Quest'ultima, presentata come un'app di messaggistica con funzionalità di scambio di criptovalute, ha raggiunto oltre 10.000 download prima di essere individuata e rimossa. I ricercatori hanno inoltre identificato versioni modificate di popolari social media, tra cui cloni di TikTok che incorporavano negozi di criptovalute fasulli, app di gioco d'azzardo e contenuti per adulti, tutti veicolati attraverso canali non ufficiali.
L'implementazione tecnica di SparkKitty dimostra un livello di sofisticazione notevole, adattandosi alle specifiche caratteristiche dei sistemi operativi iOS e Android. Su dispositivi Apple, il malware si nasconde all'interno di framework falsificati come AFNetworking.framework e libswiftDarwin.dylib, talvolta distribuiti attraverso profili di provisioning enterprise. La sua attivazione avviene automaticamente tramite il metodo Objective-C '+load', che esegue il codice malevolo non appena l'applicazione viene avviata, previa verifica di specifiche chiavi di configurazione nel file Info.plist.
Per quanto riguarda Android, il malware si integra nelle applicazioni Java/Kotlin, utilizzando in alcuni casi moduli malevoli Xposed/LSPosed per aumentare la propria efficacia. L'attivazione può avvenire sia al lancio dell'app che in risposta ad azioni specifiche dell'utente, come l'apertura di determinate schermate. Una volta operativo, SparkKitty recupera e decrittografa un file di configurazione remoto utilizzando la crittografia AES-256 in modalità ECB per ottenere gli URL dei server di comando e controllo.
Il processo di esfiltrazione dei dati segue percorsi differenziati in base al sistema operativo. Su iOS, dopo aver ottenuto l'accesso alla galleria fotografica, il malware monitora costantemente eventuali modifiche e trasferisce automaticamente qualsiasi immagine nuova o precedentemente non caricata sui server controllati dai criminali. La versione Android segue un approccio simile, caricando le immagini insieme agli identificatori del dispositivo e ai relativi metadati. Alcune varianti più avanzate di SparkKitty utilizzano il Google ML Kit OCR per rilevare e caricare selettivamente solo le immagini contenenti testo, ottimizzando così l'efficienza dell'operazione di furto.
Come difendersi?
La scoperta di SparkKitty sottolinea ancora una volta i limiti dei sistemi di controllo degli app store ufficiali, evidenziando come anche le piattaforme più rinomate possano essere infiltrate da software malevolo. Gli esperti raccomandano di adottare un approccio critico nella valutazione delle applicazioni, prestando particolare attenzione a segnali di allarme come recensioni falsificate, sviluppatori con background dubbi, o un numero elevato di recensioni positive a fronte di pochi download effettivi.
Durante l'installazione di nuove applicazioni, le richieste di accesso alla memoria di sistema o alla galleria fotografica dovrebbero essere valutate con estrema cautela, concedendo i permessi solo quando strettamente necessari per le funzionalità principali dell'app. Gli utenti iOS dovrebbero evitare l'installazione di profili di configurazione o certificati provenienti da fonti non verificate, mentre quelli Android dovrebbero mantenere attivo Google Play Protect ed eseguire regolarmente scansioni complete del dispositivo.
La risposta di Google alla scoperta è stata immediata:
"L'app segnalata è stata rimossa da Google Play e lo sviluppatore è stato bandito dalla piattaforma", ha comunicato l'azienda, specificando che "gli utenti Android sono automaticamente protetti contro questa app, indipendentemente dalla fonte di download, grazie a Google Play Protect, attivo per default sui dispositivi con Google Play Services".
Apple, contattata per un commento sulla questione, non ha ancora fornito una risposta ufficiale riguardo alle modalità con cui queste applicazioni sono riuscite a superare i controlli di sicurezza del proprio store.
La lezione più importante che emerge da questo episodio riguarda la gestione delle frasi di recupero dei portafogli crittografici. Gli esperti ribadiscono con forza che queste informazioni critiche non dovrebbero mai essere archiviate digitalmente sui dispositivi mobili, ora chiaramente nel mirino di campagne malware sempre più sofisticate. La conservazione offline in luoghi sicuri rimane l'unica strategia davvero efficace per proteggere gli investimenti in criptovalute da questo tipo di minacce emergenti.