SparkCat: Apps maliciosos no Android e iOS escaneiam capturas de tela para roubar criptomoedas
Tirar capturas de tela em dispositivos móveis modernos é extremamente fácil. No entanto, usuários inexperientes muitas vezes ignoram os riscos de segurança associados ao salvamento de imagens contendo dados sensíveis. Esse descuido pode levar a perdas financeiras, pois os cibercriminosos estão sempre prontos para explorar falhas na segurança operacional.
A Kaspersky revelou uma nova campanha de malware projetada para invadir carteiras de criptomoedas dos usuários e roubar Bitcoin e outros ativos digitais. Chamado de SparkCat, o malware utiliza tecnologia avançada de reconhecimento óptico de caracteres (OCR) integrada às plataformas modernas de smartphones para escanear frases de recuperação usadas para acessar carteiras cripto. Notavelmente, ele afeta tanto o ecossistema Android quanto o iOS.
O SparkCat foi encontrado embutido em vários aplicativos para Android e iOS, alguns dos quais estavam disponíveis em lojas oficiais de aplicativos. O malware usa um SDK malicioso que integra a tecnologia de OCR do Google, permitindo que ele escaneie a galeria de fotos dos usuários em busca de capturas de tela e extraia códigos de recuperação de carteiras de criptomoedas.
Os aplicativos infectados descobertos na Google Play Store foram baixados mais de 242.000 vezes. Enquanto isso, alguns aplicativos maliciosos voltados para iOS ainda estão disponíveis para download, incluindo duas ferramentas de chat com IA (WeTink e AnyGPT) e um aplicativo chinês de entrega de comida (ComeCome).
A Kaspersky acredita que a campanha SparkCat está ativa desde março de 2024. Os aplicativos maliciosos utilizavam um protocolo escrito em Rust, nunca antes visto, que facilitava a comunicação com os servidores de comando e controle operados pelos criminosos por trás do ataque.
A origem do SparkCat ainda é incerta. A Kaspersky não conseguiu determinar se a infecção foi parte de um sofisticado ataque à cadeia de suprimentos ou resultado de ações deliberadas dos desenvolvedores dos aplicativos. O malware emprega táticas semelhantes às observadas por pesquisadores em 2023, quando analistas da ESET descobriram “implantes” maliciosos em aplicativos para Android e Windows projetados para escanear imagens em busca de códigos de acesso a carteiras cripto.
O SparkCat ressalta os riscos das práticas de segurança deficientes em dispositivos móveis pessoais. Salvar capturas de tela na galeria do telefone já representa uma vulnerabilidade, mas para usuários que investem em criptomoedas, isso pode se transformar em uma ameaça grave à segurança.
