Programa rouba criptomoedas presentes nas lojas oficiais de aplicativos

Kaspersky descobre programa que rouba criptomoedas presentes nas lojas oficiais de aplicativos

O trojan SparkCat já foi baixado apenas no Google Play mais de 242 mil vezes.

O centro de especialistas Kaspersky Threat Research acaba de descobrir um novo trojan, denominado SparkCat, ativo na AppStore e Google Play desde, pelo menos, março de 2024. Trata-se do primeiro malware conhecido baseado em reconhecimento óptico presente na AppStore. O SparkCat utiliza machine learning para escanear galerias de imagens e roubar capturas de tela com frases de recuperação de carteiras de criptomoedas. Ele também pode encontrar e extrair outros dados sensíveis em imagens, como senhas.

A Kaspersky reportou as aplicações maliciosas conhecidas para o Google e a Apple.

Como o novo malware é propagado?

O malware é propagado tanto por meio de aplicativos (apps) legítimos infectados quanto por meio de “iscas”, disfarçando-se de apps de mensagens, assistentes de IA, apps de delivery, de criptomoedas, entre outros. Algumas dessas aplicações estão disponíveis nas plataformas oficiais do Google Play e AppStore. Além disso, os dados de telemetria da Kaspersky indicam que versões infectadas estão sendo distribuídas por outras fontes não oficiais. No Google Play, essas aplicações foram baixadas mais de 242 mil vezes.

Quem são as vítimas?

O malware se dirige principalmente a usuários nos Emirados Árabes Unidos e de países da Europa e Ásia. Essa conclusão foi alcançada pelos especialistas, com base tanto na informação sobre as áreas operacionais das aplicações infectadas, quanto na análise técnica do malware. O SparkCat examina as galerias de imagens em busca de palavras-chave em vários idiomas, incluindo chinês, japonês, coreano, inglês, tcheco, francês, italiano, polonês e português. No entanto, os especialistas acreditam que as vítimas também podem vir de outros países.

Por exemplo, o aplicativo de entrega de alimentos ComeCome para iOS foi infectado, assim como sua versão para Android.

Outro exemplo é uma aplicação isca: um serviço de mensagens na AppStore. 

Como funciona o SparkCat

Uma vez instalado, em certos cenários o novo malware solicita acesso para visualizar as fotos na galeria do smartphone. Em seguida, analisa o texto nas imagens armazenadas utilizando um módulo de reconhecimento óptico de caracteres (OCR). Se o programa detectar palavras-chave relevantes, envia a imagem para os atacantes. O objetivo principal dos hackers é encontrar frases de recuperação para carteiras de criptomoedas. Com essa informação, eles podem obter controle total sobre a carteira da vítima e roubar seus fundos. Além de acessar frases de recuperação, o malware é capaz de extrair outras informações pessoais das capturas de tela, como mensagens e senhas.

“Este é o primeiro caso conhecido de um trojan que usa reconhecimento de caracteres infiltrado na AppStore”, afirma Leandro Cuozzo, analista de malware na Kaspersky. “Quanto à AppStore e ao Google Play, por ora não está claro se as aplicações nessas lojas foram comprometidas por meio de um ataque à cadeia de suprimentos ou por outros métodos diversos. Alguns apps, como os serviços de delivery, parecem legítimos, enquanto outras estão claramente desenhados como iscas.”

“A campanha SparkCat possui algumas características únicas que a tornam perigosa. Em primeiro lugar, ela se propaga por meio de lojas oficiais e opera sem sinais evidentes de infecção. A furtividade desse trojan dificulta sua detecção tanto para os moderadores das lojas quanto para as vitimas. Além disso, as permissões solicitadas parecem razoáveis, o que facilita que passem despercebidas. O acesso à galeria que o malware tenta obter pode parecer essencial para o funcionamento correto do aplicativo, pelo menos da perspectiva do usuário. Essa permissão normalmente é solicitada em contextos pertinentes, como quando os usuários entram em contato com o serviço de atendimento ao cliente”, acrescenta Leandro.

Ao analisar as versões Android do malware, os especialistas da Kaspersky encontraram comentários no código escritos em chinês. Além disso, a versão para iOS continha nomes de diretórios de início de desenvolvedor, “qiongwu” e “quiwengjing”, o que sugere que os grupos por trás da campanha dominam o chinês. No entanto, não há evidências suficientes para atribuir a campanha a um grupo cibercriminoso conhecido.

Ataques impulsionados por Machine Learning

Os cibercriminosos estão prestando cada vez mais atenção às redes neurais em suas ferramentas maliciosas. No caso do SparkCat, o módulo para Android decifra e executa um plugin OCR utilizando a biblioteca Google ML Kit para reconhecer o texto nas imagens armazenadas. Um método similar foi empregado em seu módulo malicioso para iOS.

As soluções da Kaspersky protegem tanto os usuários de Android quanto os de iOS contra o SparkCat. Ele é detectado como HEUR:Trojan.IphoneOS.SparkCat.* e HEUR:Trojan.AndroidOS.SparkCat.*.

Um relatório completo sobre essa campanha de malware está disponível no Securelist.

Para evitar se tornar vítima desse malware, a Kaspersky recomenda as seguintes medidas de segurança:

• Se você instalou alguma das aplicações infectadas, remova-a do seu dispositivo e não a utilize até que seja lançada uma atualização que elimine a funcionalidade maliciosa.
• Evite armazenar capturas de tela contendo informações sensíveis em sua galeria, incluindo frases de recuperação de carteiras de criptomoedas. Por exemplo, as senhas podem ser armazenadas em aplicativos especializados, como o Kaspersky Password Manager.
• Um software de cibersegurança confiável, como o Kaspersky Premium, pode prevenir infecções por malware.

Investigação de Ameaças

A equipe de Investigação de Ameaças é uma autoridade líder na proteção contra ciberameaças. Ao se envolver ativamente tanto na análise de ameaças quanto na criação de tecnologia, nossos especialistas garantem que as soluções de cibersegurança da Kaspersky sejam fundamentadas em informações profundas e sejam excepcionalmente potentes, proporcionando inteligência crítica sobre ameaças e uma segurança robusta aos nossos clientes e à comunidade em geral.

Veja também:

• Empresas brasileiras perdem mais de R$1Mi em ataques
• Fraudes de identidade em cripto cresceram 50% na América Latina em 2024
• Hackers usam anexos de imagem e vídeo para entregar malware
• Interrupção da Cloudflare causada por bloqueio malsucedido de URL de phishing
• Vulnerabilidades do IBM Cloud Pak expõem dados confidenciais
• Vemos você usando o Gemini para phishing e scripts
• Amazon apresenta recursos para evitar vazamentos de dados
• Avaliação do risco de segurança no DeepSeek
• Netgear corrige bugs críticos
• Hackers usam AWS e Azure para ataques cibernéticos em larga escala
• DeepSeek Jailbreak revela todo o prompt do sistema
• DeepSeek expõe banco de dados com mais de 1 milhão de registros de bate-papo