Um novo malware de roubo de criptomoedas para dispositivos móveis, denominado SparkKitty, foi encontrado em aplicativos na Google Play e na App Store da Apple, visando dispositivos Android e iOS.
Esse malware é uma possível evolução do SparkCat, que a Kaspersky descobriu em janeiro.
O SparkCat utilizava reconhecimento óptico de caracteres (OCR) para roubar frases de recuperação de carteiras de criptomoedas a partir de imagens salvas em dispositivos infectados.
Quando se instala carteiras de criptomoedas, o processo de instalação orienta os usuários a anotarem a frase de recuperação da carteira e armazená-la em um local seguro e offline.
O acesso a essa seed phrase pode ser usado para restaurar uma carteira de criptomoedas e seus ativos armazenados em outro dispositivo, tornando-se um alvo valioso para os agentes de ameaças.
Embora tirar um screenshot da sua seed phrase nunca seja uma boa ideia, algumas pessoas fazem isso por conveniência.
Um relatório da Kaspersky afirma que o novo malware SparkKitty rouba indiscriminadamente todas as imagens da galeria de fotos de um dispositivo infectado.
Enquanto a Kaspersky acredita que o malware está visando seed phrases de carteiras de criptomoedas, os dados roubados também podem ser utilizados para outros fins maliciosos, como extorsão, caso as imagens contenham conteúdo sensível.
A campanha SparkKitty está ativa desde pelo menos fevereiro de 2024, se espalhando tanto por lojas de aplicativos oficiais do Google e da Apple quanto por plataformas não oficiais.
Os aplicativos maliciosos identificados pela Kaspersky são 币coin na App Store da Apple e SOEX na Google Play, ambos já removidos até o momento deste relato.
SOEX é um aplicativo de mensagens com recursos de troca de criptomoedas, baixado mais de 10.000 vezes na loja oficial de aplicativos do Android.
A Kaspersky também descobriu clones modificados do TikTok incorporando falsas lojas online de criptomoedas, aplicativos de apostas, jogos com temas para adultos e aplicativos de cassino contendo SparkKitty, distribuídos por canais não oficiais.
No iOS, o SparkKitty está embutido como falsos frameworks (AFNetworking.framework, libswiftDarwin.dylib) e, às vezes, entregue via perfis de provisionamento empresarial.
No Android, o malware está embutido em aplicativos Java/Kotlin, alguns dos quais utilizam módulos maliciosos Xposed/LSPosed.
O framework malicioso usa o método '+load' do Objective-C para executar automaticamente seu código quando o aplicativo é iniciado no iOS.
Uma verificação de configuração é realizada lendo chaves do Info.plist do aplicativo; a execução prossegue apenas se os valores corresponderem a strings esperadas.
No Android, o malware é acionado no lançamento do aplicativo ou em ações específicas do usuário, como abrir um tipo de tela especificado.
Após a ativação, ele recupera e descriptografa um arquivo de configuração remoto usando AES-256 (modo ECB) para obter URLs C2.
No iOS, o malware solicita acesso à galeria de fotos, enquanto no Android, o aplicativo malicioso solicita que o usuário conceda permissões de armazenamento para acessar imagens.
Se a permissão for concedida no iOS, o malware monitora a galeria por mudanças e exfiltra quaisquer imagens novas ou previamente não enviadas.
No Android, o malware faz upload das imagens da galeria, juntamente com identificadores do dispositivo e metadados.
A Kaspersky encontrou algumas versões do SparkKitty que utilizam o OCR do Google ML Kit para detectar e fazer upload apenas de imagens contendo texto.
O SparkKitty é mais um exemplo de malware que se infiltra nas lojas de aplicativos oficiais, destacando mais uma vez que os usuários não devem confiar cegamente em software nos canais de distribuição verificados.
Todos os aplicativos devem ser examinados em busca de sinais de fraude, como avaliações falsas, publicadores com históricos duvidosos ou antecedentes, baixo número de downloads combinado com um alto número de avaliações positivas, entre outros.
Durante a instalação, solicitações para acesso ao armazenamento ou à galeria devem ser tratadas com suspeita e negadas se não estiverem relacionadas à funcionalidade principal do aplicativo.
No iOS, evite instalar perfis de configuração ou certificados, a menos que venham de uma fonte confiável.
No Android, ative o Google Play Protect nas configurações e realize varreduras completas do dispositivo regularmente.
Por fim, os detentores de criptomoedas não devem manter imagens de suas seed phrases em seus dispositivos móveis, pois agora são alvo ativo de malware.
Em vez disso, armazene-as offline em um local seguro.
"O aplicativo reportado foi removido do Google Play e o desenvolvedor foi banido," disse o Google ao site BleepingComputer.
"Os usuários do Android estão automaticamente protegidos contra este aplicativo, independentemente da fonte de download, pelo Google Play Protect, que está ativado por padrão nos dispositivos Android com o Google Play Services."
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...