Pesquisadores de cibersegurança descobriram uma nova versão do malware SparkCat na Apple App Store e na Google Play Store, mais de um ano depois de o trojan ter sido identificado como ameaça aos dois sistemas operacionais móveis.
O malware foi encontrado oculto em aplicativos aparentemente legítimos, como mensageiros corporativos e serviços de entrega de alimentos, enquanto fazia a varredura silenciosa das galerias de fotos das vítimas em busca de frases de recuperação de carteiras de criptomoedas.
A empresa russa de cibersegurança Kaspersky informou ter encontrado dois apps infectados na App Store e um na Google Play Store, com foco principal em usuários de criptomoedas na Ásia.
“A variante para iOS, no entanto, adota uma abordagem diferente, pois procura frases mnemônicas de carteiras de criptomoedas, que estão em inglês”, afirmou a empresa.
“Isso torna a variante para iOS potencialmente mais abrangente, já que ela pode afetar usuários independentemente da região.”
A versão aprimorada do SparkCat para Android inclui várias camadas de obfuscação em comparação com iterações anteriores.
Entre os recursos, estão o uso de virtualização de código e de linguagens de programação multiplataforma para dificultar a análise.
Além disso, a versão para Android busca palavras-chave em japonês, coreano e chinês, o que indica um foco na Ásia.
O SparkCat foi documentado pela primeira vez pela Kaspersky em fevereiro de 2025, quando a empresa destacou sua capacidade de usar um modelo de OCR, reconhecimento óptico de caracteres, para exfiltrar imagens específicas contendo frases de recuperação de carteiras a partir de bibliotecas de fotos para um servidor controlado por criminosos.
As melhorias mais recentes do malware mostram que se trata de uma ameaça em evolução ativa, sem falar nas capacidades técnicas dos grupos por trás da operação.
A Kaspersky já havia avaliado que a atividade maliciosa era obra de um operador que fala chinês.
“A variante atualizada do SparkCat solicita acesso para visualizar fotos na galeria do smartphone do usuário em determinados cenários, assim como a primeira versão do trojan”, disse o pesquisador da Kaspersky Sergey Puzan ao The Hacker News.
“Ele analisa o texto em imagens armazenadas usando um módulo de OCR.”
“Se o stealer encontrar palavras-chave relevantes, ele envia a imagem aos atacantes.
Considerando as semelhanças entre a amostra atual e a anterior, acreditamos que os desenvolvedores da nova versão do malware sejam os mesmos.
Essa campanha reforça mais uma vez a importância de usar soluções de segurança em smartphones para se proteger contra uma ampla variedade de cyberthreats.”
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...