Image by James Yerema, from Unsplash
Il nuovo Spyware “SparkKitty” prende di mira i portafogli di criptovalute attraverso l’App Store e Google Play
Tempo di lettura: 3 Min.
Ultimo aggiornamento: Jun 25, 2025
-
![Kiara Fabbri]()
-
![Il team di localizzazione e traduzione]()
Tradotto da Il team di localizzazione e traduzione Servizi di localizzazione e traduzione
Gli ricercatori di sicurezza hanno identificato un nuovo spyware chiamato SparkKitty, che ruba le foto degli smartphone per accedere ai portafogli di criptovalute
Hai fretta? Ecco i fatti essenziali:
- Il malware si traveste come versioni modificate di app popolari come TikTok su iOS e Android.
- Utilizza l’OCR per trovare le frasi segrete dei portafogli criptovalute nelle immagini rubate.
- Attivo dal febbraio 2024, si diffonde attraverso negozi di app ufficiali e non ufficiali.
Il spyware, segnalato per la prima volta da Kaspersky, sembra essere collegato a un precedente ceppo di malware noto come SparkCat. Ha infettato diverse app sia sull’App Store che su Google Play, anche se alcune sono già state rimosse.
I ricercatori spiegano che SparkKitty diffonde false applicazioni che imitano piattaforme ben note, tra cui TikTok. Una volta installate, le app malevole richiedono l’accesso alla galleria fotografica dell’utente.
Alcune versioni rubano tutte le immagini, mentre altre utilizzano il riconoscimento ottico dei caratteri (OCR) per cercare le frasi di seed del portafoglio criptografico, che sono codici unici che danno accesso alle valute digitali.
Su iPhone, il malware è nascosto all’interno di falsi framework software che imitano quelli legittimi come AFNetworking o Alamofire. Su dispositivi Android, lo spyware si incapsula come moduli malevoli all’interno delle app, in particolare quelle relative alla messaggistica o alle criptovalute.
Kaspersky spiega che la campagna ha iniziato la sua operazione nel febbraio 2024 e si è diffusa attraverso sia negozi di app non autorizzati, sia canali di distribuzione ufficiali. Il rilevamento iniziale del malware è avvenuto attraverso false applicazioni TikTok, che reindirizzavano gli utenti verso un falso negozio online chiamato “TikToki Mall”, che accettava pagamenti in criptovalute.
Gli utenti che hanno acceduto al sito dai loro iPhone hanno visualizzato false pagine dell’App Store che li hanno ingannati inducendoli a installare applicazioni infette. Gli hacker hanno anche abusato del Programma per Sviluppatori Enterprise di Apple per distribuire il loro malware, eludendo la normale sicurezza dell’App Store.
Dopo l’infezione, l’app controlla i codici di attivazione, contatta un server remoto per le istruzioni e carica le foto rubate sui server controllati dagli hacker.
Gli studiosi riportano che un’app di messaggistica falsa abilitata alla crittografia è stata scaricata più di 10.000 volte prima che gli studiosi di sicurezza ne scoprissero la natura malevola.
La maggior parte delle vittime si trova nel Sud-est asiatico e in Cina, con molte app infette che presentano contenuti di gioco d’azzardo o per adulti. Tuttavia, lo spyware potrebbe prendere di mira utenti in tutto il mondo. SparkKitty condivide caratteristiche tecniche con SparkCat, suggerendo un collegamento diretto tra le due campagne.
Per rimanere protetti, gli utenti dovrebbero evitare gli store di app di terze parti, controllare attentamente i permessi delle app e mantenere i loro dispositivi aggiornati. Anche le foto non correlate alla criptovaluta potrebbero essere a rischio a causa di questa continua minaccia di spyware.
Storia precedente
Ultimi articoli 
