Uma nova campanha de malware denominada SparkCat tem explorado um conjunto de aplicativos falsos nas lojas de aplicativos da Apple e do Google para roubar frases mnemônicas associadas a carteiras de criptomoedas.
Os ataques utilizam um modelo de reconhecimento óptico de caracteres (OCR) para exfiltrar imagens selecionadas que contêm frases de recuperação de carteira das bibliotecas de fotos para um servidor de comando e controle (C2), disseram os pesquisadores da Kaspersky, Dmitry Kalinin e Sergey Puzan, em um relatório técnico.
O nome é uma referência a um kit de desenvolvimento de software (SDK) embutido que emprega um componente Java chamado Spark, que se disfarça como um módulo de análise.
Atualmente, não se sabe se a infecção foi resultado de um ataque na cadeia de suprimentos ou se foi intencionalmente introduzida pelos desenvolvedores.
Embora esta não seja a primeira vez que malware para Android com capacidades de OCR é detectado em ambiente selvagem, é uma das primeiras instâncias em que tal ladrão foi encontrado na App Store da Apple.
Diz-se que os aplicativos infectados no Google Play foram baixados mais de 242.000 vezes.
A campanha está avaliada como ativa desde março de 2024, com os aplicativos distribuídos via lojas de aplicativos oficiais e não oficiais.
Os aplicativos se disfarçam como de inteligência artificial (AI), entrega de comida e Web3, embora alguns deles pareçam oferecer funcionalidades legítimas.
"O módulo de malware para Android decifraria e lançaria um plug-in de OCR construído com a biblioteca ML Kit do Google, e usaria isso para reconhecer texto encontrado em imagens dentro da galeria", disse a Kaspersky.
Imagens que correspondiam a palavras-chave recebidas do C2 eram enviadas para o servidor. De maneira similar, a versão iOS do SparkCat depende da biblioteca ML Kit do Google para OCR, a fim de roubar imagens contendo frases mnemônicas.
Um aspecto notável do malware é seu uso de um mecanismo de comunicação baseado em Rust para C2, algo raramente observado em aplicativos móveis.
Análises adicionais sobre as palavras-chave usadas e as regiões onde esses aplicativos estavam disponíveis indicam que a campanha está visando principalmente usuários na Europa e Ásia.
Avalia-se que a atividade maliciosa é obra de um ator de ameaças fluente em chinês.
"O que torna este Trojan particularmente perigoso é que não há indicação de um implante malicioso escondido dentro do aplicativo", disseram os pesquisadores.
As permissões solicitadas podem parecer que são necessárias para sua funcionalidade central ou parecer inofensivas à primeira vista. A divulgação ocorre enquanto a Zimperium zLabs detalhava outra campanha de malware móvel visando proprietários de dispositivos Android na Índia, distribuindo arquivos APK maliciosos via WhatsApp sob a aparência de aplicativos bancários e do governo, permitindo que os aplicativos colham informações pessoais e financeiras sensíveis.
A empresa de cibersegurança disse que identificou mais de 1.000 aplicativos falsos ligados à campanha, com os atacantes utilizando aproximadamente 1.000 números de telefone codificados para exfiltração de mensagens SMS e senhas de uso único (OTPs).
"Diferente dos trojans bancários convencionais que dependem exclusivamente de servidores de comando e controle (C&C) para o roubo de senha de uso único (OTP), essa campanha de malware utiliza números de telefone ao vivo para redirecionar mensagens SMS, deixando um rastro digital rastreável para que as agências de aplicação da lei rastreiem os atores da ameaça por trás desta campanha", disse o pesquisador de segurança Aazim Yaswant.
A campanha de ataque, nomeada FatBoyPanel, é dita ter acumulado 2.5 GB de dados sensíveis até o momento, todos hospedados em endpoints Firebase acessíveis a qualquer um sem autenticação.
Isso inclui mensagens SMS de bancos indianos, detalhes bancários, informações de cartões de crédito e débito, e detalhes de identificação emitidos pelo governo pertencentes a cerca de 50.000 usuários, a maioria localizada nos estados indianos de Bengala Ocidental, Bihar, Jharkhand, Karnataka e Madhya Pradesh.
Esses incidentes contam uma história cautelar sobre a importância de verificar adequadamente os aplicativos de código, incluindo a análise de resenhas e a checagem da autenticidade dos desenvolvedores, antes de baixá-los, mesmo que estejam disponíveis em lojas oficiais de aplicativos.
O desenvolvimento segue também a emergência de 24 novas famílias de malware visando sistemas Apple macOS em 2024, de 21 em 2023, de acordo com o pesquisador de segurança Patrick Wardle.
Isso coincide com um aumento nos ataques de stealers de informação, como aqueles envolvendo Poseidon, Atomic e Cthulhu, que visam especificamente usuários do sistema operacional de desktop.
"Stealers de informação que exploram o macOS frequentemente aproveitam o framework nativo AppleScript," disseram os pesquisadores da Palo Alto Networks Unit 42, Tom Fakterman, Chen Erlich, e Tom Sharon, em um relatório publicado esta semana.
Este framework proporciona amplo acesso ao OS, e também simplifica a execução com sua sintaxe de linguagem natural.
Como esses prompts podem parecer prompts legítimos do sistema, os atores da ameaça usam este framework para enganar as vítimas via engenharia social.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...