Come rimuovere il malware SparkCat dal vostro Android
Scitto da Tomas Meskauskas il
Che tipo di malware è SparkCat?
SparkCat è un malware multipiattaforma che colpisce iPhone e dispositivi Android. Questo software dannoso è in circolazione almeno dalla primavera del 2024. Il suo obiettivo è rubare le chiavi dei portafogli di criptovaluta sfruttando la funzionalità OCR.
SparkCat è stato diffuso attraverso app store ufficiali e di terze parti. Le campagne di proliferazione di questo malware hanno preso di mira gli utenti in Europa, Asia e forse Africa.
Panoramica del malware SparkCat
SparkCat è un malware altamente offuscato. È stato distribuito sia attraverso applicazioni troianizzate che travestite da software legittimo. Come la maggior parte dei malware Android/iOS, SparkCat richiede le autorizzazioni necessarie per svolgere le sue attività dannose.
La richiesta viene presentata alle vittime quando interagiscono con la funzione principale dell'applicazione contraffatta/troianizzata o quando tentano di utilizzare la sua funzione di chat di supporto. SparkCat ha bisogno dell'autorizzazione per accedere alla galleria del dispositivo, quindi può sembrare uno stratagemma convincente poiché gli utenti potrebbero voler inviare immagini all'assistenza.
L'obiettivo di questo malware è rubare le chiavi di recupero (cioè le credenziali di accesso) dei portafogli di criptovalute. SparkCat tenta di farlo cercando le immagini contenenti le chiavi e sfrutta un componente OCR (Optical Character Recognition) costruito utilizzando il Google ML Kit (pacchetto di apprendimento automatico per applicazioni Android e iOS).
Il modello OCR utilizzato viene scelto in base alla lingua del sistema. È in grado di leggere gli alfabeti latino, cinese, giapponese e coreano. È noto che SparkCat ha preso di mira le seguenti lingue: cinese, ceco, inglese, francese, italiano, giapponese, coreano, polacco e portoghese.
Tuttavia, uno dei travestimenti utilizzati da SparkCat - un'applicazione per la consegna di cibo - era disponibile per il download anche in Indonesia, Kazakistan, Emirati Arabi Uniti e Zimbabwe. È quindi possibile che SparkCat si rivolga anche agli utenti di questi Paesi (e di altri).
Il malware è in grado di cercare nei file immagine delle vittime determinate parole chiave e di ottenerne altre dal suo server C&C (Command and Control). Se viene trovata un'immagine di interesse, questa viene scaricata. Sebbene SparkCat cerchi principalmente le credenziali di accesso al cryptowallet, potrebbe esfiltrare altre immagini e foto sensibili/di valore.
In sintesi, la presenza di software come SparkCat sui dispositivi può portare a seri problemi di privacy, perdite finanziarie e furti di identità.
| Nome | SparkCat virus |
| Tipo di minaccia | Malware Android, applicazione dannosa |
| Nomi di rilevamento | Avast-Mobile (APK:RepMalware [Trj]), BitDefenderFalx (Android.Riskware.Agent.gHWVX), DrWeb (Android.CoinSteal.SparkCat.1.origin), ESET-NOD32 (Una variante di Android/Spy.SparkCat.B), Kaspersky (HEUR:Trojan.AndroidOS.Piom.biev), Elenco completo (VirusTotal) |
| Sintomi | I trojan sono progettati per infiltrarsi furtivamente nel dispositivo della vittima e rimanere silenziosi, pertanto non sono visibili sintomi particolari su un computer infetto. |
| Metodi di distribuzione | Allegati e-mail infetti, pubblicità online dannose, social engineering, applicazioni ingannevoli, siti web truffaldini. |
| Danni | Perdite monetarie, furto di informazioni personali. |
| Rimozione dei malware (Android) | Per eliminare possibili infezioni malware, scansiona il tuo dispositivo mobile con un software antivirus legittimo. I nostri ricercatori di sicurezza consigliano di utilizzare Combo Cleaner. |
Esempi di malware specifici per Android
Abbiamo analizzato numerosi programmi dannosi; FireScam, NoviSpy, EagleMsgSpy e AppLite Banker sono solo alcuni dei nostri articoli più recenti sul malware Android.
Il software dannoso può avere un obiettivo incredibilmente specifico (come SparkCat) o un'ampia gamma di funzionalità. Tuttavia, indipendentemente dal modo in cui il malware opera, la sua presenza su un sistema minaccia l'integrità del dispositivo e la sicurezza dell'utente. Pertanto, tutte le minacce devono essere eliminate immediatamente dopo il rilevamento.
Come si è infiltrato SparkCat nel mio dispositivo?
SparkCat è stato osservato proliferare attraverso applicazioni false e troianizzate. Questo programma dannoso è stato distribuito attraverso app store ufficiali e di terze parti, tra cui Google Play Store e Apple App Store. Ad esempio, SparkCat è stato diffuso attraverso il Play Store come un'app di chat AI (Intelligenza Artificiale) - ChatAi - che è stata scaricata oltre 50 mila volte, e un'app di servizio di consegna di cibo - ComeCome - scaricata oltre 10 mila volte.
I campioni noti di SparkCat sono stati scaricati complessivamente oltre 240 mila volte (l'elenco degli APK Android e dei framework iOS infetti è riportato di seguito).
Tuttavia, questo software potrebbe essere distribuito utilizzando altri metodi. Oltre all'abuso di canali di download affidabili e all'affidamento a fonti di terze parti, i criminali informatici proliferano comunemente il malware tramite download drive-by (furtivi/ingannevoli), allegati/link dannosi nello spam (ad esempio, e-mail, PM/DM, SMS, ecc.), malvertising, truffe online, strumenti illegali di attivazione del software ("crack") e falsi aggiornamenti.
Inoltre, alcuni programmi dannosi possono diffondersi autonomamente attraverso le reti locali e i dispositivi di archiviazione rimovibili (ad esempio, dischi rigidi esterni, chiavette USB, ecc.).
Come evitare l'installazione di malware?
Consigliamo vivamente di effettuare ricerche sul software prima di scaricarlo o acquistarlo, leggendo le condizioni e le recensioni di esperti/utenti, controllando i permessi richiesti e verificando la legittimità dello sviluppatore. Inoltre, tutti i download devono essere effettuati da fonti ufficiali e affidabili. I programmi devono essere attivati e aggiornati utilizzando funzioni/strumenti legittimi, poiché quelli acquistati da terzi possono contenere malware.
Un'altra raccomandazione è quella di affrontare con cautela le e-mail e gli altri messaggi in arrivo. Gli allegati o i link presenti nelle e-mail dubbie/irrilevanti non devono essere aperti, perché possono essere virulenti. La vigilanza è essenziale durante la navigazione, poiché i contenuti online fraudolenti e pericolosi appaiono solitamente autentici e innocui.
Dobbiamo sottolineare l'importanza di avere un antivirus affidabile installato e mantenuto aggiornato. Il software di sicurezza deve essere utilizzato per eseguire scansioni regolari del sistema e per rimuovere minacce e problemi.
Screenshot dei travestimenti del malware SparkCat per Android (fonte immagine - Securelist):
Screenshot dei travestimenti del malware SparkCat per iOS (fonte immagine - Securelist):
Elenco di nomi di APK Android infetti da Google Play:
com.crownplay.vanity.address; com.atvnewsonline.app; com.bintiger.mall.android; com.websea.exchange; org.safew.messenger; org.safew.messenger.store; com.tonghui.paybank; com.bs.feifubao; com.sapp.chatai; com.sapp.starcoin
Elenco dei BundleID crittografati all'interno dei framework iOS:
im.pop.app.iOS.Messenger; com.hkatv.ios; com.atvnewsonline.app; io.zorixchange; com.yykc.vpnjsq; com.llyy.au; com.star.har91vnlive; com.jhgj.jinhulalaab; com.qingwa.qingwa888lalaaa; com.blockchain.uttool; com.wukongwaimai.client; com.unicornsoft.unicornhttpsforios; staffs.mil.CoinPark; com.lc.btdj; com.baijia.waimai; com.ctc.jirepaidui; com.ai.gbet; app.nicegram; com.blockchain.ogiut; com.blockchain.98ut; com.dream.towncn; com.mjb.Hardwood.Test; com.galaxy666888.ios; njiujiu.vpntest; com.qqt.jykj; com.ai.sport; com.feidu.pay; app.ikun277.test; com.usdtone.usdtoneApp2; com.cgapp2.wallet0; com.bbydqb; com.yz.Byteswap.native; jiujiu.vpntest; com.wetink.chat; com.websea.exchange; com.customize.authenticator; im.token.app; com.mjb.WorldMiner.new; com.kh-super.ios.superapp; com.thedgptai.event; com.yz.Eternal.new; xyz.starohm.chat; com.crownplay.luckyaddress1
Menu rapido:
- Introduzione
- Come eliminare la cronologia di navigazione dal browser Chrome?
- Come disattivare le notifiche del browser nel browser web Chrome?
- Come resettare il browser Chrome?
- Come cancellare la cronologia di navigazione dal browser web Firefox?
- Come disattivare le notifiche del browser Firefox?
- Come resettare il browser web Firefox?
- Come disinstallare le applicazioni potenzialmente indesiderate e/o dannose?
- Come avviare il dispositivo Android in "modalità provvisoria"?
- Come controllare l'utilizzo della batteria di varie applicazioni?
- Come controllare l'utilizzo dei dati delle varie applicazioni?
- Come installare gli ultimi aggiornamenti software?
- Come ripristinare lo stato di default del sistema?
- Come disattivare le applicazioni con privilegi di amministratore?
Eliminare la cronologia di navigazione dal browser Chrome:
Toccate il pulsante "Menu" (tre punti nell'angolo superiore destro dello schermo) e selezionate "Cronologia" nel menu a discesa aperto.
Toccare "Cancella dati di navigazione", selezionare la scheda "AVANZATE", scegliere l'intervallo di tempo e i tipi di dati che si desidera eliminare e toccare "Cancella dati".
Disattivare le notifiche del browser nel browser Chrome:
Toccate il pulsante "Menu" (tre punti nell'angolo superiore destro dello schermo) e selezionate "Impostazioni" nel menu a discesa aperto.
Scorrere verso il basso fino a visualizzare l'opzione "Impostazioni del sito" e toccarla. Scorrete verso il basso fino a visualizzare l'opzione "Notifiche" e toccatela.
Individuate i siti Web che forniscono notifiche del browser, toccateli e fate clic su "Cancella e ripristina". In questo modo verranno rimosse le autorizzazioni concesse a questi siti web per l'invio di notifiche. Tuttavia, una volta visitato nuovamente lo stesso sito, questo potrebbe richiedere nuovamente un'autorizzazione. Potete scegliere se concedere o meno questi permessi (se scegliete di rifiutarli, il sito passerà alla sezione "Bloccato" e non vi chiederà più l'autorizzazione).
Ripristinare il browser Chrome:
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Applicazioni" e toccarlo.
Scorrere verso il basso fino a trovare l'applicazione "Chrome", selezionarla e toccare l'opzione "Archiviazione".
Toccate "GESTIONE MEMORIZZAZIONE", quindi "CANCELLA TUTTI I DATI" e confermate l'operazione toccando "OK". Si noti che la reimpostazione del browser eliminerà tutti i dati memorizzati al suo interno. Ciò significa che tutti i login/password salvati, la cronologia di navigazione, le impostazioni non predefinite e altri dati verranno eliminati. Dovrete inoltre effettuare nuovamente l'accesso a tutti i siti web.
Cancellare la cronologia di navigazione dal browser Firefox:
Toccare il pulsante "Menu" (tre puntini nell'angolo superiore destro dello schermo) e selezionare "Cronologia" nel menu a discesa aperto.
Scorrere verso il basso fino a visualizzare "Cancella dati privati" e toccarlo. Selezionate i tipi di dati che desiderate rimuovere e toccate "Cancella dati".
Disattivare le notifiche del browser nel browser Firefox:
Visitare il sito web che invia le notifiche del browser, toccare l'icona visualizzata a sinistra della barra degli URL (l'icona non sarà necessariamente un "lucchetto") e selezionare "Modifica impostazioni del sito".
Nel pop-up aperto, selezionare l'opzione "Notifiche" e toccare "CANCELLA".
Ripristinare il browser web Firefox:
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Applicazioni" e toccarlo.
Scorrere verso il basso fino a trovare l'applicazione "Firefox", selezionarla e toccare l'opzione "Memoria".
Toccare "CANCELLA DATI" e confermare l'azione toccando "CANCELLA". Si noti che la reimpostazione del browser eliminerà tutti i dati memorizzati al suo interno. Ciò significa che tutti i login/password salvati, la cronologia di navigazione, le impostazioni non predefinite e altri dati verranno eliminati. Dovrete inoltre effettuare nuovamente l'accesso a tutti i siti web.
Disinstallare le applicazioni potenzialmente indesiderate e/o dannose:
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Applicazioni" e toccarlo.
Scorrere fino a individuare un'applicazione potenzialmente indesiderata e/o dannosa, selezionarla e toccare "Disinstalla". Se, per qualche motivo, non si riesce a rimuovere l'applicazione selezionata (ad esempio, viene visualizzato un messaggio di errore), si dovrebbe provare a utilizzare la "Modalità provvisoria".
Avviare il dispositivo Android in "modalità provvisoria":
La "modalità provvisoria" del sistema operativo Android disabilita temporaneamente l'esecuzione di tutte le applicazioni di terze parti. L'uso di questa modalità è un buon modo per diagnosticare e risolvere vari problemi (ad esempio, rimuovere le applicazioni dannose che impediscono agli utenti di farlo quando il dispositivo funziona "normalmente").
Premete il pulsante "Power" e tenetelo premuto finché non appare la schermata "Power off". Toccare l'icona "Spegnimento" e tenerla premuta. Dopo qualche secondo apparirà l'opzione "Modalità provvisoria" e sarà possibile eseguirla riavviando il dispositivo.
Controllare l'utilizzo della batteria delle varie applicazioni:
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Manutenzione del dispositivo" e toccarlo.
Toccare "Batteria" e controllare l'utilizzo di ogni applicazione. Le applicazioni legittime/genuino sono progettate per utilizzare il minor consumo possibile di energia, al fine di fornire la migliore esperienza utente e risparmiare energia. Pertanto, un utilizzo elevato della batteria può indicare che l'applicazione è dannosa.
Controllare l'utilizzo dei dati delle varie applicazioni:
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Connessioni" e toccarlo.
Scorrere fino a visualizzare "Utilizzo dati" e selezionare questa opzione. Come per la batteria, le applicazioni legittime/genuini sono progettate per ridurre al minimo l'utilizzo dei dati. Ciò significa che un utilizzo massiccio di dati può indicare la presenza di un'applicazione dannosa. Si noti che alcune applicazioni dannose potrebbero essere progettate per funzionare solo quando il dispositivo è connesso alla rete wireless. Per questo motivo, è necessario controllare l'utilizzo dei dati sia da rete mobile che da rete Wi-Fi.
Se trovate un'applicazione che consuma molti dati anche se non la usate mai, vi consigliamo vivamente di disinstallarla il prima possibile.
Installare gli ultimi aggiornamenti del software:
Mantenere il software aggiornato è una buona pratica quando si tratta di sicurezza del dispositivo. I produttori di dispositivi rilasciano continuamente varie patch di sicurezza e aggiornamenti Android per risolvere errori e bug che possono essere sfruttati dai criminali informatici. Un sistema non aggiornato è molto più vulnerabile, per questo motivo bisogna sempre assicurarsi che il software del dispositivo sia aggiornato.
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Aggiornamento software" e toccarlo.
Toccare "Scarica gli aggiornamenti manualmente" e verificare se sono disponibili aggiornamenti. In caso affermativo, installateli immediatamente. Si consiglia inoltre di attivare l'opzione "Scarica automaticamente gli aggiornamenti", che consentirà al sistema di notificare il rilascio di un aggiornamento e/o di installarlo automaticamente.
Ripristinare lo stato di default del sistema:
L'esecuzione di un "Reset di fabbrica" è un buon modo per rimuovere tutte le applicazioni indesiderate, ripristinare le impostazioni predefinite del sistema e pulire il dispositivo in generale. Tuttavia, è necessario tenere presente che tutti i dati presenti nel dispositivo verranno eliminati, comprese le foto, i file video/audio, i numeri di telefono (memorizzati nel dispositivo, non nella scheda SIM), i messaggi SMS e così via. In altre parole, il dispositivo verrà riportato allo stato primordiale.
È anche possibile ripristinare le impostazioni di base del sistema e/o semplicemente le impostazioni di rete.
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Informazioni sul telefono" e toccarlo.
Scorrete verso il basso fino a visualizzare "Ripristino" e toccatelo. Ora scegliete l'azione che desiderate eseguire:
"Ripristina impostazioni" - ripristina tutte le impostazioni di sistema ai valori predefiniti;
"Ripristina impostazioni di rete" - ripristina tutte le impostazioni relative alla rete ai valori predefiniti;
"Ripristino dati di fabbrica" - ripristina l'intero sistema e cancella completamente tutti i dati memorizzati;
Disattivate le applicazioni che hanno privilegi di amministratore:
Se un'applicazione dannosa ottiene i privilegi di amministratore, può danneggiare seriamente il sistema. Per mantenere il dispositivo il più sicuro possibile, si dovrebbe sempre controllare quali applicazioni hanno tali privilegi e disabilitare quelle che non dovrebbero.
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Schermata di blocco e sicurezza" e toccarlo.
Scorrere verso il basso fino a visualizzare "Altre impostazioni di sicurezza", toccarlo e quindi toccare "Applicazioni di amministrazione del dispositivo".
Identificare le applicazioni che non devono avere privilegi di amministratore, toccarle e quindi toccare "DISATTIVA".
Domande frequenti (FAQ)
Il mio dispositivo Android è stato infettato dal malware SparkCat, devo formattare il dispositivo di archiviazione per eliminarlo?
La rimozione del malware raramente richiede la formattazione.
Quali sono i maggiori problemi che il malware SparkCat può causare?
Le minacce associate a un'infezione dipendono dalle capacità del malware e dagli obiettivi dei criminali informatici. SparkCat mira alle chiavi di recupero dei portafogli di criptovalute (credenziali di accesso), ma potrebbe anche cercare altri contenuti sensibili. Pertanto, può causare seri problemi di privacy, perdite finanziarie e potenziali furti di identità.
Qual è lo scopo del malware SparkCat?
Il malware viene utilizzato dagli aggressori principalmente per generare entrate, e questo è probabilmente il caso di SparkCat, considerando le sue capacità. Altri motivi alla base delle infezioni da malware sono l'interruzione dei processi (ad esempio, siti web, servizi, aziende, ecc.), il divertimento o la vendetta personale dei criminali informatici, l'hacktivismo e le motivazioni politiche/geopolitiche.
Come si è infiltrato il malware SparkCat nel mio dispositivo Android?
SparkCat è stato diffuso sotto forma di applicazioni false/troianizzate attraverso app store ufficiali e di terze parti, come Play Store e App Store. Sono possibili altri metodi di distribuzione. Oltre a quelli già citati, le tecniche più diffuse includono download drive-by, truffe online, e-mail/messaggi di spam, malvertising, strumenti illegali di attivazione del software ("crack") e falsi aggiornamenti. Alcuni programmi dannosi possono diffondersi autonomamente attraverso reti locali e dispositivi di archiviazione rimovibili.
Combo Cleaner mi proteggerà dal malware?
Combo Cleaner è in grado di rilevare e rimuovere la maggior parte delle infezioni malware conosciute. Tenete presente che l'esecuzione di una scansione completa del sistema è fondamentale, poiché i software maligni più sofisticati si nascondono in genere nelle profondità dei sistemi.
Eccezionale!
▼ Mostra Discussione