Componenti aggiuntivi dannosi per app legittime<\/h2>\n
Le app che contengono i componenti dannosi di SparkCat rientrano in due categorie. Alcuni, come numerose app di messaggistica simili che vantano funzionalit\u00e0 di intelligenza artificiale, tutte prodotte dallo stesso sviluppatore, sono state chiaramente progettate come esca. Altre sono app legittime: servizi di consegna cibo a domicilio, lettori di notizie e utilit\u00e0 di portafogli di criptovaluta. Non sappiamo ancora in che modo la funzionalit\u00e0 Trojan sia riuscita a entrare in queste app. Potrebbe essere stato il risultato di un attacco alla supply chain<\/a>, in cui un componente di terze parti utilizzato nell\u2019app \u00e8 stato infettato. In alternativa, \u00e8 possibile che gli sviluppatori abbiano deliberatamente incorporato il Trojan nelle loro app.<\/p>\n La prima app in cui abbiamo rilevato SparkCat \u00e8 stata quella di un servizio di consegna cibo chiamato ComeCome, disponibile negli Emirati Arabi Uniti e in Indonesia. L\u2019app infetta \u00e8 stata trovata sia su Google Play che sull\u2019App Store<\/p><\/div>\n Lo stealer analizza le foto presenti nella galleria dello smartphone e, a tal fine, tutte le app infette richiedono l\u2019autorizzazione per accedervi. In molti casi, questa richiesta sembra del tutto legittima: ad esempio, l\u2019app di consegna cibo ComeCome ha richiesto l\u2019accesso a una chat di assistenza clienti subito dopo aver aperto questa chat, il che sembrava del tutto naturale. Altre applicazioni richiedono l\u2019accesso alla galleria quando avviano le loro funzionalit\u00e0 principali, il che sembra comunque innocuo. Dopotutto, ti interessa poter condividere le foto su uno strumento di messaggistica, giusto?<\/p>\n Tuttavia, non appena l\u2019utente concede l\u2019accesso a foto specifiche o all\u2019intera galleria, il malware inizia a esaminare tutte le foto che riesce a raggiungere, alla ricerca di qualsiasi elemento di valore.<\/p>\n Per trovare i dati del portafoglio di criptovaluta tra le foto di gatti e tramonti, il Trojan dispone di un modulo OCR integrato basato su Google ML Kit, una libreria universale di apprendimento automatico.<\/p>\n A seconda delle impostazioni linguistiche del dispositivo, SparkCat scarica modelli addestrati a rilevare la scrittura pertinente nelle foto, che sia latina, coreana, cinese o giapponese. Dopo aver riconosciuto il testo in un\u2019immagine, il Trojan lo confronta con una serie di regole caricate dal suo server di comando e controllo. Oltre alle parole chiave presenti nell\u2019elenco (ad esempio \u201cMnemonico\u201d), il filtro pu\u00f2 essere attivato da modelli specifici, come combinazioni di lettere prive di senso nei codici di backup o determinate sequenze di parole nelle seedphrase.<\/p>\n Durante la nostra analisi, abbiamo richiesto ai server C2 del trojan un elenco di parole chiave utilizzate per la ricerca OCR. I cybercriminali sono chiaramente interessati alle frasi utilizzate per recuperare l\u2019accesso ai portafogli di criptovaluta, note come mnemotecniche<\/p><\/div>\n Il trojan carica sui server degli autori degli attacchi tutte le foto che contengono testo potenzialmente prezioso, insieme a informazioni dettagliate sul testo riconosciuto e sul dispositivo da cui \u00e8 stata rubata l\u2019immagine.<\/p>\n Tra le app infette ci sono i popolari servizi di consegna e gli strumenti di messaggistica basati sull\u2019intelligenza artificiale sia su Google Play che sull\u2019App Store<\/p><\/div>\n Abbiamo identificato 10 app dannose in Google Play e 11 nell\u2019App Store. Al momento della pubblicazione, tutte le app dannose erano state rimosse dagli store. Al momento dell\u2019analisi, il numero totale di download da Google Play superava i 242.000 e i nostri dati di telemetria suggeriscono che lo stesso malware era disponibile anche su altri siti e app store non ufficiali.<\/p>\n A giudicare dai dizionari di SparkCat, il programma \u00e8 \u201caddestrato\u201d per rubare dati agli utenti di molti paesi sia europei che asiatici e le prove indicano che gli attacchi sono in corso almeno da marzo 2024. \u00c8 probabile che gli autori di questo malware parlino fluentemente cinese: maggiori dettagli al riguardo, nonch\u00e9 gli aspetti tecnici di SparkCat, sono disponibili nel rapporto completo su Securelist<\/a>.<\/p>\n Purtroppo, il vecchio consiglio di \u201cscaricare solo app con un\u2019ottima valutazione dagli app store ufficiali\u201d non \u00e8 pi\u00f9 una soluzione ottimale: perfino l\u2019App Store \u00e8 stato infiltrato da un vero e proprio infostealer e incidenti simili si sono verificati ripetutamente<\/a> anche su Google Play. Pertanto, in questo caso dobbiamo rafforzare i criteri: scarica solo app con valutazioni elevate, con migliaia o, meglio ancora, milioni di download, e pubblicate da almeno diversi mesi. Inoltre, verifica i link delle app su fonti ufficiali (come il sito Web degli sviluppatori) per assicurarti che non siano falsi e leggi le recensioni, soprattutto quelle negative. Infine, naturalmente, assicurati di installare un sistema di sicurezza completo<\/a>\u00a0su tutti i tuoi smartphone e computer.<\/p>\n Controllare le recensioni negative dell\u2019app ComeCome nell\u2019App Store avrebbe potuto scoraggiare gli utenti dal download<\/p><\/div>\n Dovresti anche essere estremamente cauto<\/a> quando concedi autorizzazioni a nuove app. Un tempo, questo problema riguardava principalmente le impostazioni di \u201cAccessibilit\u00e0\u201d, ma ora ci rendiamo conto che anche concedere l\u2019accesso alla galleria pu\u00f2 portare al furto di dati personali. Se non sei completamente sicuro della legittimit\u00e0 di un\u2019app (ad esempio, non \u00e8 uno strumento di messaggistica ufficiale, ma una versione modificata), non concederle l\u2019accesso completo a tutte le tue foto e ai video. Concedi l\u2019accesso solo a foto specifiche quando necessario.<\/p>\n Archiviare documenti, password, dati bancari o foto di seedphrase nella galleria dello smartphone \u00e8 altamente pericoloso: oltre a programmi come SparkCat, c\u2019\u00e8 sempre il rischio che qualcuno sbirci le foto o che tu le carichi accidentalmente su un servizio di messaggistica o di condivisione file. Tali informazioni dovrebbero essere archiviate in un\u2019applicazione dedicata. Per esempio, Kaspersky Password Manager<\/a>\u00a0ti consente di archiviare e sincronizzare in modo sicuro non solo le password e i token di autenticazione a due fattori, ma anche i dati delle carte bancarie e i documenti sottoposti a scansione dettagliata su tutti i tuoi dispositivi, il tutto in forma criptata. A proposito, questa app \u00e8 inclusa nei nostri abbonamenti Kaspersky Plus<\/a>\u00a0e Kaspersky Premium<\/a>.<\/p>\n![\"SparkCat](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2025\/02\/13170151\/ios-android-ocr-stealer-sparkcat-01-635x1024.png\")
<\/a>Furto con intelligenza artificiale<\/h2>\n
![\"Parole](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2025\/02\/13170101\/ios-android-ocr-stealer-sparkcat-02-1024x213.png\")
<\/a>Portata e vittime dell\u2019attacco<\/h2>\n
![\"App](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2025\/02\/13170018\/ios-android-ocr-stealer-sparkcat-03-1024x738.png\")
<\/a>Come proteggersi dai trojan OCR<\/h2>\n
![\"Recensione](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2025\/02\/13165919\/ios-android-ocr-stealer-sparkcat-04-1024x508.png\")
<\/a>