Apple e Google hanno rimosso fino a 20 app dai rispettivi store dopo che i ricercatori di sicurezza hanno scoperto che le app contenevano malware ruba-dati per quasi un anno.
I ricercatori di sicurezza di Kaspersky hanno dichiarato che il malware, chiamato SparkCat, è attivo dal marzo 2024. Inizialmente, i ricercatori hanno trovato il framework maligno all'interno di un'app per la consegna di cibo utilizzata negli Emirati Arabi Uniti e in Indonesia, ma in seguito hanno scoperto il malware su altre 19 app non correlate, che dicono sono state scaricate in modo cumulativo più di 242.000 volte attraverso il Play Store di Google.
Utilizzando del codice progettato per catturare il testo visibile sul display dell'utente - noto come riconoscimento ottico dei caratteri (OCR) - i ricercatori hanno scoperto che il malware scandiva le gallerie di immagini sui dispositivi delle vittime alla ricerca di parole chiave per trovare frasi di recupero per portafogli di criptovalute in varie lingue, tra cui inglese, cinese, giapponese e coreano.
Utilizzando il malware per catturare le frasi di recupero di una vittima, gli aggressori potevano ottenere il completo controllo sul portafogli di una vittima e rubare i loro fondi, hanno scoperto i ricercatori.
Il malware poteva anche consentire l'estrazione di informazioni personali dalle schermate, come messaggi e password, hanno detto i ricercatori.
Dopo aver ricevuto la segnalazione dai ricercatori, Apple ha rimosso le app compromesse dall'App Store la settimana scorsa, seguita da Google.
“Tutte le app identificate sono state rimosse da Google Play e gli sviluppatori sono stati banditi”, ha detto il portavoce di Google Ed Fernandez a TechCrunch.
Il portavoce di Google ha confermato che gli utenti Android erano protetti dalle versioni conosciute di questo malware attraverso la funzionalità di sicurezza integrata Google Play Protect.
Apple non ha risposto alle richieste di commento.
La portavoce di Kaspersky Rosemarie Gonzales ha detto a TechCrunch che mentre le app segnalate sono state rimosse dagli store ufficiali, i dati telemetrici dell'azienda suggeriscono che il malware fosse anche disponibile su altri siti web e store non ufficiali.
