Il malware SparkCat rappresenta una nuova minaccia nel panorama della sicurezza informatica, sfruttando avanzate funzionalità di riconoscimento ottico dei caratteri (OCR) per rubare le frasi di recupero dei portafogli di criptovaluta delle vittime. Questa campagna malevola si è diffusa attraverso app fasulle disponibili sia sull'App Store di Apple che su Google Play Store, mettendo a rischio i dati sensibili degli utenti.

La tecnica adottata da SparkCat prevede l'uso di un modello OCR per estrarre le frasi di recupero dalle immagini presenti nelle librerie fotografiche degli utenti e inviarle a un server di comando e controllo (C2). I ricercatori di Kaspersky hanno identificato il malware all'interno di un SDK (Software Development Kit) denominato Spark, che si presenta come un modulo di analisi, sebbene le sue reali intenzioni siano ben altre.

È importante sottolineare che questa non è la prima volta che un malware con capacità OCR viene rilevato su Android, ma è una delle prime istanze in cui un tale ladro è stato scoperto sull'App Store di Apple. Le applicazioni infette su Google Play sono state scaricate oltre 242.000 volte, dimostrando l'ampia portata di questa minaccia.

La campagna è considerata attiva fin dal marzo 2024, con app che si spacciano per strumenti di intelligenza artificiale, servizi di consegna cibo e applicazioni Web3. Tuttavia, alcune di queste applicazioni mostrano funzionalità legittime, rendendo difficile per gli utenti identificare la minaccia. L'uso di un meccanismo di comunicazione basato su Rust per il C2 rappresenta una novità nel contesto delle app mobili, aggiungendo un ulteriore livello di complessità alla minaccia.

Analizzando le parole chiave utilizzate e le regioni in cui queste app erano disponibili, è stato possibile determinare che la campagna mirava principalmente agli utenti in Europa e Asia, con un attaccante probabilmente fluente in cinese dietro l'operazione. La pericolosità di questo trojan risiede nella sua abilità di nascondersi all'interno delle app senza dare alcun segnale evidente della sua presenza malevola.

Parallelamente, è emersa un'altra campagna di malware mobile, denominata FatBoyPanel, che ha preso di mira i dispositivi Android in India, distribuendo file APK malevoli attraverso WhatsApp. Gli attaccanti hanno sfruttato numeri di telefono predefiniti per raccogliere SMS e OTP, accumulando oltre 2,5 GB di dati sensibili. Questi incidenti mettono in evidenza l'importanza di un'attenta verifica delle app prima di scaricarle, anche quando si tratta di store ufficiali.

L'emergere di 24 nuove famiglie di malware mirate ai sistemi macOS di Apple nel 2024, rappresentano un ulteriore tassello nel crescente panorama delle minacce informatiche, sottolineando la necessità di una vigilanza costante e di strategie di sicurezza avanzate per proteggere i dati degli utenti.