Lo spyware SparkKitty su App Store e Play Store ruba foto per ottenere dati crittografati

I ricercatori di sicurezza informatica di Kaspersky hanno segnalato una nuova operazione spyware, denominata SparkKitty, che ha infettato le app disponibili sia sull'App Store ufficiale di Apple che su Google Play.

Questo spyware mira a rubare tutte le immagini dai dispositivi mobili degli utenti, con il sospetto di essere incentrato sulla ricerca di informazioni sulle criptovalute. La campagna è attiva dall'inizio del 2024 e si rivolge principalmente a utenti nel Sud-est asiatico e in Cina.

Lo spyware SparkKitty si infiltra nei dispositivi tramite applicazioni apparentemente innocue, spesso camuffate da versioni modificate di app popolari come TikTok . Nel caso delle versioni dannose di TikTok, includevano persino un falso negozio online TikToki Mall all'interno dell'app, che accettava criptovalute per beni di consumo, richiedendo spesso un codice di invito per l'accesso.

Secondo il rapporto di Kaspersky, per i dispositivi iOS, gli aggressori utilizzano uno speciale profilo di provisioning aziendale del Programma Sviluppatori di Apple. Questo consente loro di installare certificati sugli iPhone che fanno apparire affidabili le app dannose, aggirando il consueto processo di revisione dell'App Store per la distribuzione diretta.

Inoltre, gli autori della minaccia hanno incorporato il loro codice dannoso modificando le librerie di rete open source come AFNetworking.framework e Alamofire.framework e lo hanno anche mascherato come libswiftDarwin.dylib .

Sul lato Android, Kaspersky ha trovato lo spyware SparkKitty nascosto in varie applicazioni di criptovalute e casinò. Una di queste app, uno strumento di messaggistica con funzionalità crypto, è stata scaricata oltre 10.000 volte da Google Play prima di essere rimossa.

Un'altra app Android infetta, diffusa al di fuori degli store ufficiali, aveva una versione simile che si era infiltrata nell'App Store. Entrambe includevano il codice dannoso direttamente all'interno dell'app stessa, non solo come componente separato.

Una volta installato, l'obiettivo principale dello spyware SparkKitty è accedere e rubare tutte le foto dalla galleria di un dispositivo. Sebbene raccolga immagini in generale, sembra essere collegato a un vecchio spyware chiamato SparkCat, che utilizzava il riconoscimento ottico dei caratteri ( OCR ), una tecnologia che legge il testo dalle immagini, per trovare e rubare in modo specifico dettagli come le frasi di recupero del portafoglio di criptovalute dagli screenshot.

Alcune versioni di SparkKitty utilizzano anche l'OCR per questo scopo, sfruttando la libreria Google ML Kit per questa funzione, in particolare nelle app distribuite tramite pagine web sospette che assomigliano a truffe e schemi Ponzi .

Kaspersky ritiene che lo spyware SparkKitty sia direttamente collegato alla precedente campagna SparkCat, scoperta nel gennaio 2025, con cui condivide metodi di distribuzione simili attraverso marketplace di app ufficiali e non ufficiali. Entrambe le minacce sembrano inoltre focalizzate sul furto di criptovalute. Gli aggressori dietro lo spyware SparkKitty hanno preso di mira specificamente utenti nel Sud-est asiatico e in Cina, spesso tramite giochi d'azzardo e per adulti modificati, nonché app false di TikTok .

Sebbene scaricare app da store di terze parti sia sempre rischioso, questa scoperta dimostra che anche fonti attendibili come gli app store ufficiali non possono più essere considerate completamente affidabili. Gli utenti nelle regioni interessate, e in generale a livello globale, dovrebbero prestare attenzione alle autorizzazioni delle app e valutare la legittimità di qualsiasi app che richieda un accesso insolito, in particolare alle gallerie fotografiche.