Chi ha detto che l’App Store è al sicuro da malware? Per la prima volta scoperte app “ladre” di criptovalute

C’è sempre una prima volta: gli esperti di sicurezza di Kaspersky hanno riportato di aver scoperto nell’App Store alcune app infette da un malware in grado di estrarre password e chiavi di recupero dei criptowallet dei malcapitati. 

La notizia è piuttosto importante, in quanto si tratta del primo caso noto, secondo gli autori dell’articolo, di app nell’App Store che utilizzano una tecnologia OCR per estrarre il testo dalle immagini e inviarlo a server esterni.

Il funzionamento dell’attacco è particolarmente insidioso, in quanto agisce in modo veramente furtivo. Le app (alcune delle quali disponibili anche sul Play Store) nascondono un codice che attiva un plug-in OCR incluso nella libreria ML Kit di Google per riconoscere il testo nelle immagini della galleria. 

Una volta che l’utente avvia una chat con il team di supporto dell’app attraverso il pulsante dedicato, l’app chiede all’utente l’accesso alla galleria fotografica.

A questo punto il gioco è fatto: concessa l’autorizzazione, l’app inizia a controllare le immagini nella galleria utilizzando la tecnologia OCR di Google, che consente di decifrare il testo trovato nelle foto.

Utilizzando dei filtri di ricerca particolari, seleziona quel testo che include possibili informazioni relative all’accesso di criptowallet, come screenshot di password o di frasi di recupero. Il software invia quindi tutte le immagini che trova a un server dedicato, dove gli aggressori possono quindi utilizzare le informazioni per accedere ai criptowallet e rubare criptovalute.

Questo tipo di malware, un trojan chiamato SparkCat, è stato scoperto nel 2024 ed è attivamente utilizzato nelle app da marzo di quell’anno. 

Per quanto riguarda le app oggetto dell’indagine, si tratta di ComCome-Chinese Food Delivery, disponibile sua App Store e Play Store, dove è stata scaricata più di 242.000 volte, e due app disponibili solo sull’App Store, WeTink e AnyGPT. 

Mentre per la prima Kaspersky non è in grado di stabilire se sia stata pensata per veicolare malware o se questo sia stato inoculato a insaputa degli sviluppatori, le ultime due, create dallo stesso sviluppatore, sembrano proprio frutto di un’azione deliberata.

Nessuna delle tre app sembra disponibile sull’App Store, almeno italiano, mentre su quello statunitense fino a poco fa erano ancora scaricabili. Sul Play Store ComCome-Chinese Food Delivery è invece tutt’ora disponibile. Tra l’altro sull’App Store quest’ultima aveva ricevuto una recensione negativa da parte di un utente che aveva scoperto cosa stesse facendo sul suo telefono (immagine sotto). 

Kaspersky conclude la sua analisi in modo piuttosto netto, dichiarando che la presenza di un tipo di trojan di questo tipo, “ancora una volta frantuma il mito secondo cui iOS è in qualche modo impermeabile alle minacce poste da app dannose che prendono di mira Android“. 

Il consiglio è di disinstallare immediatamente le app in questione e soprattutto di evitare di archiviare nella galleria schermate con informazioni sensibili, come frasi di recupero e password, e di farlo solo in app dedicate.