Um novo malware, capaz de roubar criptomoedas e dados sensíveis, foi descoberto em lojas de aplicativos, como AppStore e Google Play. De acordo com o centro de especialistas Kaspersky Threat Research, o novo trojan, denominado SparkCat, está ativo desde, pelo menos, março de 2024. Trata-se do primeiro malware conhecido baseado em reconhecimento óptico presente na AppStore.

O SparkCat consegue escanear galerias de imagens e roubar capturas de tela com frases de recuperação de carteiras de criptomoedas. Ele também pode encontrar e extrair outros dados sensíveis em imagens, como senhas. Conforme a Kaspersky, as aplicações maliciosas conhecidas foram reportadas para o Google e a Apple.

Como o novo malware é propagado?

De acordo com a Kaspersky, o malware é propagado tanto por meio de aplicativos legítimos infectados quanto por meio de “iscas”, disfarçando-se de apps de mensagens, assistentes de IA, apps de delivery, de criptomoedas, entre outros. Algumas dessas aplicações estão disponíveis nas plataformas oficiais do Google Play e AppStore. Além disso, os dados de telemetria da Kaspersky indicam que versões infectadas estão sendo distribuídas por outras fontes não oficiais. No Google Play, essas aplicações foram baixadas mais de 242 mil vezes.

“Este é o primeiro caso conhecido de um trojan que usa reconhecimento de caracteres infiltrado na AppStore”, afirma Leandro Cuozzo, analista de malware na Kaspersky. “Quanto à AppStore e ao Google Play, por ora não está claro se as aplicações nessas lojas foram comprometidas por meio de um ataque à cadeia de suprimentos ou por outros métodos diversos. Alguns apps, como os serviços de delivery, parecem legítimos, enquanto outras estão claramente desenhados como iscas.”

Como funciona o SparkCat?

Uma vez instalado, em certos cenários o novo malware solicita acesso para visualizar as fotos na galeria do smartphone. Em seguida, analisa o texto nas imagens armazenadas utilizando um módulo de reconhecimento óptico de caracteres (OCR). Se o programa detectar palavras-chave relevantes, envia a imagem para os atacantes. O objetivo principal dos hackers é encontrar frases de recuperação para carteiras de criptomoedas.

Com essa informação, eles podem obter controle total sobre a carteira da vítima e roubar seus fundos. Além de acessar frases de recuperação, o malware é capaz de extrair outras informações pessoais das capturas de tela, como mensagens e senhas.

Ao analisar as versões Android do malware, os especialistas da Kaspersky encontraram comentários no código escritos em chinês. Além disso, a versão para iOS continha nomes de diretórios de início de desenvolvedor, “qiongwu” e “quiwengjing”, o que sugere que os grupos por trás da campanha dominam o chinês. No entanto, não há evidências suficientes para atribuir a campanha a um grupo cibercriminoso conhecido.

 “A campanha SparkCat possui algumas características únicas que a tornam perigosa. Em primeiro lugar, ela se propaga por meio de lojas oficiais e opera sem sinais evidentes de infecção. A furtividade desse trojan dificulta sua detecção tanto para os moderadores das lojas quanto para as vítimas. Além disso, as permissões solicitadas parecem razoáveis, o que facilita que passem despercebidas”, detalha.

“O acesso à galeria que o malware tenta obter pode parecer essencial para o funcionamento correto do aplicativo, pelo menos da perspectiva do usuário. Essa permissão normalmente é solicitada em contextos pertinentes, como quando os usuários entram em contato com o serviço de atendimento ao cliente”, acrescenta Leandro.

Quem são as vítimas?

Até o momento, o malware se dirige principalmente a usuários nos Emirados Árabes Unidos e de países da Europa e Ásia. O SparkCat examina as galerias de imagens em busca de palavras-chave em vários idiomas, incluindo chinês, japonês, coreano, inglês, tcheco, francês, italiano, polonês e português. No entanto, os especialistas acreditam que as vítimas também podem vir de outros países.

Para evitar se tornar vítima desse malware, a Kaspersky recomenda as seguintes medidas de segurança:

  • Se você instalou alguma das aplicações infectadas, remova-a do seu dispositivo e não a utilize até que seja lançada uma atualização que elimine a funcionalidade maliciosa
  • Evite armazenar capturas de tela contendo informações sensíveis em sua galeria, incluindo frases de recuperação de carteiras de criptomoedas. Por exemplo, as senhas podem ser armazenadas em aplicativos especializados
  • Um software de cibersegurança confiável pode prevenir infecções por malware