{"id":29781,"date":"2025-06-27T19:52:40","date_gmt":"2025-06-27T17:52:40","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=29781"},"modified":"2025-06-27T19:52:40","modified_gmt":"2025-06-27T17:52:40","slug":"ios-android-stealer-sparkkitty","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/ios-android-stealer-sparkkitty\/29781\/","title":{"rendered":"Le foto del tuo gatto sono a rischio: la minaccia rappresentata dal nuovo trojan SparkKitty"},"content":{"rendered":"

Le tue istantanee sono, letteralmente, le chiavi della tua vita privata. La tua galleria contiene i tuoi piani per il futuro, segreti finanziari, foto di gatti e, a volte, anche cose che non vorresti mai condividere. Ma quante volte pensi veramente di proteggere quelle immagini? Ci auguriamo che, da quando hai sentito parlare dello stealer SparkCat multipiattaforma<\/a>, tu ci abbia riflettuto pi\u00f9 spesso del solito.<\/p>\n

Adesso abbiamo scoperto il fratellino di quel trojan, che abbiamo affettuosamente chiamato SparkKitty. Ma non devi farti ingannare: dietro a un nome tanto carino, si nasconde una spia che, proprio come il fratello maggiore, mira a rubare foto dagli smartphone delle vittime. Cosa rende unica questa minaccia e perch\u00e9 dovrebbe allarmare tanto gli utenti Android quanto quelli dell\u2019iPhone?<\/p>\n

In che modo SparkKitty si fa strada nei dispositivi<\/h2>\n

Lo stealer si diffonde in due modi: (i) nelle zone pi\u00f9 oscure e nascoste di Internet e (ii) negli app store ufficiali, quelli di Apple e Google. Analizziamo la situazione pi\u00f9 in dettaglio.<\/p>\n

App store ufficiali<\/h3>\n

Nell\u2019App Store di Apple il malware era in agguato all\u2019interno dell\u2019app \u5e01coin<\/strong>, progettata per tenere traccia dei tassi di cambio delle criptovalute e dei segnali di trading. Non sappiamo esattamente come questa attivit\u00e0 di spionaggio sospetta sia finita nell\u2019app. Probabilmente la supply chain \u00e8 stata compromessa<\/a> e gli stessi sviluppatori non erano a conoscenza dell\u2019esistenza di SparkKitty, finch\u00e9 non abbiamo provveduto a informarli. Ma c\u2019\u00e8 anche la possibilit\u00e0 che gli sviluppatori abbiano deliberatamente incorporato lo stealer nell\u2019app. In ogni caso, questa \u00e8 la seconda volta che un trojan riesce a intrufolarsi nell\u2019App Store e che ci troviamo a segnalare un rilevamento ad Apple. SparkCat<\/a> \u00e8 stato il primo.<\/p>\n

\"Applicazione<\/a>

Applicazione infetta nell\u2019App Store<\/p><\/div>\n

Per quanto riguarda Google Play, la situazione \u00e8 diversa: le app dannose sono piuttosto frequenti e su Kaspersky Daily pubblichiamo spesso articoli dedicati a queste minacce<\/a>. Questa volta l\u2019attivit\u00e0 dannosa \u00e8 stata rilevata in un\u2019app di messaggistica che include funzionalit\u00e0 per lo scambio di criptovalute. Si tratta di un\u2019app popolare, che \u00e8 stata installata pi\u00f9 di 10.000 volte e al momento dello studio \u00e8 stata rimossa da Google Play.<\/p>\n

Collegamenti sospetti<\/h3>\n

Va detto che questa volta gli autori dell\u2019attacco sono stati molto pi\u00f9 creativi nel diffondere il malware. Durante una revisione di routine di alcuni collegamenti sospetti (li proviamo noi, in modo che non debba farlo tu!), i nostri esperti hanno scoperto diverse pagine simili che distribuivano una mod TikTok per Android. Una delle principali attivit\u00e0 svolte da questa mod \u00e8 la chiamata di un codice supplementare. Questa attivit\u00e0 ai loro occhi \u00e8 subito sembrata sospetta\u2026 e i loro sospetti sono stati confermati! Il codice conteneva collegamenti visualizzati all\u2019interno dell\u2019app come pulsanti. Questi indirizzavano gli utenti a un negozio online chiamato TikToki Mall, dove si trovavano in vendita svariati articoli. Sfortunatamente, non siamo riusciti a determinare se il negozio fosse legittimo o solo una grossa trappola. \u00c8 tuttavia emerso un aspetto interessante: TikToki Mall accetta pagamenti in criptovaluta e per registrarsi e pagare qualsiasi articolo \u00e8 necessario un codice di invito. In questa fase non sono state rilevate ulteriori attivit\u00e0 sospette e nessuna traccia di SparkKitty o altro malware.<\/p>\n

Abbiamo quindi deciso di adottare un approccio diverso, andando a verificare cosa succedeva utilizzando gli stessi collegamenti sospetti da un iPhone. In questo modo siamo arrivati a una pagina con un aspetto vagamente simile all\u2019App Store, che ci ha subito proposto di scaricare l'\u201dapp TikTok\u201d.<\/p>\n

<\/strong><\/p>\n

<\/p>\n

iOS non consente agli utenti di scaricare ed eseguire applicazioni da fonti di terze parti. Tuttavia, Apple fornisce ai partecipanti dell\u2019Apple Developer Program i cosiddetti profili di provisioning. Utilizzando questi profili, gli utenti possono installare nei propri dispositivi applicazioni personalizzate non disponibili nell\u2019App Store ufficiale, ad esempio versioni beta o app sviluppate per uso aziendale interno. I cybercriminali hanno pertanto iniziato a sfruttare questi profili per distribuire app contenenti malware.<\/em><\/p>\n

<\/strong><\/p><\/blockquote>\n

<\/p>\n

Il processo di installazione dell\u2019app \u00e8 stato leggermente diverso dalla procedura standard. In genere, nell\u2019App Store \u00e8 sufficiente toccare Installa<\/strong> una sola volta. In questo caso, invece, l\u2019installazione del falso TikTok ha richiesto alcuni passaggi aggiuntivi: abbiamo infatti dovuto scaricare e installare un profilo di provisioning per sviluppatori.<\/p>\n

\"Installazione<\/a>

Installazione su iPhone di un\u2019app proveniente da una fonte sconosciuta<\/p><\/div>\n

Naturalmente, questa versione di TikTok non conteneva video divertenti ed era solo un altro store, simile alla versione per Android. Sebbene apparentemente innocua, la versione iOS richiedeva l\u2019accesso alla galleria dell\u2019utente ogni volta che veniva avviata: ecco dove stava il trucco! Dopo aver notato questo comportamento sospetto, i nostri esperti hanno scoperto un modulo dannoso che inviava agli autori dell\u2019attacco immagini dalla galleria del telefono infetto, insieme a informazioni sul dispositivo. Il nostro team ne ha trovato le tracce anche in altre applicazioni Android. Per i dettagli tecnici, consulta il nostro rapporto completo su Securelist<\/a>.<\/p>\n

Chi \u00e8 a rischio?<\/h2>\n

I nostri dati mostrano che questa campagna prende di mira principalmente gli utenti nel sud-est asiatico e in Cina. Questo non significa, tuttavia, che gli altri paesi siano fuori dalla portata degli artigli di SparkKitty. Il malware ha cominciato a diffondersi almeno all\u2019inizio del 2024. Nell\u2019ultimo anno e mezzo i responsabili dell\u2019attacco hanno probabilmente preso in considerazione la possibilit\u00e0 di ampliare il proprio raggio d\u2019azione raggiungendo anche altri paesi e continenti. Non si fermano davanti a niente. Inoltre, non dovresti preoccuparti solo della mod di TikTok. Abbiamo infatti rilevato attivit\u00e0 dannose anche all\u2019interno di vari giochi d\u2019azzardo e per adulti e persino in app correlate alle criptovalute.<\/p>\n

Se pensi che questi hacker siano semplicemente interessati ad ammirare le foto delle tue vacanze, ti sbagli. SparkKitty carica tutti gli snapshot sul server di comando e controllo da cui operano i suoi creatori. Tra quelle immagini potrebbero facilmente trovarsi screenshot di informazioni riservate, ad esempio della seedphrase del tuo portafoglio di criptovaluta, grazie alle quali i malintenzionati potrebbero derubarti.<\/p>\n

Come proteggersi da SparkKitty<\/h2>\n

Questo trojan si diffonde in molti modi e riuscire a proteggersi \u00e8 una vera sfida. La regola d\u2019oro \u201cscaricare le app solo dalle fonti ufficiali\u201d \u00e8 sempre valida. Tuttavia, abbiamo trovato tracce di questo stealer sia in Google Play che nell\u2019App Store, dove si suppone che le app vengano controllate e siano sicure al 100%. Cosa fare<\/p>\n

\u00c8 importante concentrarsi sulla protezione della galleria sullo smartphone. Per non correre rischi, naturalmente l\u2019ideale sarebbe evitare del tutto di scattare foto o di catturare schermate di informazioni riservate, cosa praticamente impossibile al giorno d\u2019oggi. Ma una soluzione c\u2019\u00e8: conservare le foto importanti in un archivio sicuro<\/a>. Con Kaspersky Password Manager<\/a>, per visualizzare e inviare foto importanti e protette devi immettere la password principale, che solo tu conosci<\/a>. Nota: la protezione non \u00e8 limitata ai contenuti di un solo dispositivo. Lo strumento di gestione delle password pu\u00f2 sincronizzare le informazioni tra smartphone e computer. Sono inclusi i dati della carta bancaria, i token per l\u2019autenticazione a due fattori e qualsiasi altro elemento venga salvato nell\u2019archivio di Kaspersky Password Manager<\/a>, comprese le foto.<\/p>\n

\u00c8 inoltre importante controllare immediatamente se sullo smartphone sono presenti app infette note, di cui trovi l\u2019elenco completo su Securelist<\/a>. Per gli utenti Android pu\u00f2 essere di aiuto Kaspersky per Android<\/a>, che consente di trovare e rimuovere il malware automaticamente. Su iPhone, a causa dell\u2019architettura chiusa di iOS, Kaspersky<\/a> non pu\u00f2 eseguire la scansione ed eliminare le app infette installate in precedenza, ma bloccher\u00e0 e segnaler\u00e0 all\u2019utente qualsiasi tentativo di invio di dati ai server dei criminali informatici.<\/p>\n

Se scegli un abbonamento Kaspersky Premium<\/a> o Kaspersky Plus<\/a>, Kaspersky Password Manager<\/a> \u00e8 incluso insieme alla soluzione di protezione.<\/p>\n

Segui Canale Telegram di Kaspersky<\/a> per aggiornamenti sulle ultime cyberminacce e assicurati di archiviare le foto in modo sicuro.<\/p>\n

<\/strong><\/p>\n

<\/p>\n

Scopri gli altri malware che possono mettere a rischio il tuo smartphone:<\/p>\n