Gli esperti di sicurezza informatica di Kaspersky hanno recentemente rivelato una scoperta allarmante: alcune applicazioni presenti nell’App Store contengono un malware in grado di estrarre password e chiavi di recupero dai criptowallet degli utenti. Questa notizia segna un momento significativo, poiché rappresenta il primo caso documentato di app sull’App Store che sfruttano una tecnologia di riconoscimento ottico dei caratteri (OCR) per raccogliere informazioni sensibili e inviarle a server esterni.
Il meccanismo di attacco si rivela particolarmente subdolo. Le applicazioni, alcune delle quali sono disponibili anche sul Play Store, contengono un codice che attiva un plug-in OCR integrato nella libreria ML Kit di Google. Questo plug-in ha la capacità di riconoscere il testo presente nelle immagini memorizzate nella galleria dell’utente. Quando un utente avvia una conversazione con il supporto dell’app tramite un pulsante dedicato, l’app richiede l’accesso alla galleria fotografica.
Una volta concessa l’autorizzazione, l’app inizia a esaminare le immagini presenti nella galleria, utilizzando la tecnologia OCR per estrarre il testo. Attraverso filtri di ricerca specifici, il software identifica informazioni potenzialmente sensibili, come screenshot di password o frasi di recupero, e invia queste immagini a un server dedicato. Gli aggressori possono quindi utilizzare le informazioni ottenute per accedere ai criptowallet e sottrarre criptovalute.
Il malware, noto come SparkCat, è stato scoperto nel 2024 e risulta attivo nelle app a partire da marzo dello stesso anno. Le applicazioni oggetto di indagine includono ComCome-Chinese Food Delivery, disponibile sia sull’App Store che sul Play Store, dove ha registrato oltre 242.000 download. Inoltre, sono state identificate due app disponibili esclusivamente sull’App Store: WeTink e AnyGPT.
Per quanto riguarda ComCome-Chinese Food Delivery, Kaspersky non è in grado di determinare se l’app fosse originariamente progettata per diffondere malware o se il codice malevolo sia stato introdotto senza il consenso degli sviluppatori. Tuttavia, le ultime due app, sviluppate dallo stesso autore, sembrano essere il risultato di un’azione intenzionale. Attualmente, nessuna delle tre app è disponibile sull’App Store italiano, mentre su quello statunitense erano ancora scaricabili fino a poco tempo fa. ComCome-Chinese Food Delivery rimane accessibile sul Play Store, dove ha ricevuto una recensione negativa da un utente che ha scoperto il comportamento sospetto dell’app.
Kaspersky ha concluso la sua analisi affermando che la presenza di un trojan di questo tipo “frantuma il mito” secondo cui iOS sarebbe immune alle minacce rappresentate da app dannose, tipiche di Android. Gli esperti consigliano di disinstallare immediatamente le app coinvolte e di evitare di archiviare nella galleria immagini contenenti informazioni sensibili, come frasi di recupero e password, suggerendo di utilizzare solo applicazioni dedicate per tali scopi.
Questa scoperta mette in luce la vulnerabilità delle piattaforme, sottolineando l’importanza di una vigilanza costante da parte degli utenti e dei fornitori di servizi digitali.
This post was last modified on 6 Febbraio 2025 10:30