SparkCat contorna mecanismos de segurança das lojas de aplicativos para acessar dados sensíveis dos usuários, como informações de carteiras de criptomoedas.
A equipe de pesquisa de ameaças da Kaspersky identificou uma nova variação do SparkCat em aplicativos disponíveis na App Store e no Google Play, um ano após a descoberta da versão anterior que roubava criptomoedas dos usuários. O malware se esconde em aplicativos aparentemente legítimos e analisa as fotos armazenadas na galeria em busca de frases de recuperação de carteiras digitais. Diante desse cenário, especialistas reforçam a importância de adotar medidas de proteção para evitar a exposição de dados sensíveis.
A nova versão do SparkCat está sendo distribuída por meio de aplicativos legítimos infectados, incluindo aplicativos de mensagens desenvolvidos para comunicação empresarial e um aplicativo de entrega de comida. Os especialistas da Kaspersky identificaram dois aplicativos comprometidos na App Store e um no Google Play, sendo que o código malicioso já foi removido de ambos. Dados de telemetria da Kaspersky também indicam que esses aplicativos infectados são distribuídos por outras fontes, incluindo páginas da web que, ao serem acessadas via iPhone, simulam a interface da App Store.
A variação atualizada do malware para Android analisa as galerias de imagens dos dispositivos comprometidos em busca de capturas de tela contendo palavras-chave específicas em japonês, coreano e chinês, indicando que a campanha tem como principal alvo usuários asiáticos e seus ativos em criptomoedas. Já a versão para iOS adota uma abordagem diferente, buscando códigos de recuperação de carteiras de criptomoedas em inglês, o que amplia potencialmente seu alcance para usuários de diferentes regiões.
Na prática, a versão atualizada do SparkCat para Android traz várias camadas extras para dificultar a identificação do código, incluindo técnicas como virtualização e o uso de linguagem de programação multiplataforma, ainda pouco comuns em malware voltados a dispositivos móveis.
A Kaspersky notificou o Google e a Apple sobre os aplicativos maliciosos identificados.
“Em determinados cenários, a variante atualizada solicita acesso à galeria de fotos do dispositivo, assim como na versão anterior, e utiliza um módulo de reconhecimento óptico de caracteres (OCR) para analisar o texto presente nas imagens. Caso identifique palavras-chave relevantes, o conteúdo é enviado aos cibercriminosos”, afirma Fabio Assolini, Lead Security Researcher Americas da Equipe Global de Pesquisa e Análise da Kaspersky.
“O SparkCat representa uma ameaça em evolução, com agentes maliciosos aprimorando continuamente técnicas para burlar os mecanismos de verificação das lojas oficiais. O uso de virtualização de código e linguagens multiplataforma demonstra um alto nível de sofisticação, ainda incomum em malware mobile. As semelhanças entre as versões também indicam que provavelmente se trata dos mesmos desenvolvedores por trás da ameaça, reforçando a importância do uso de soluções de segurança para proteção de dispositivos móveis”, reforça o especialista.
As soluções da Kaspersky detectam essa ameaça com os vereditos: HEUR:Trojan.AndroidOS.SparkCat.* e HEUR:Trojan.IphoneOS.SparkCat.*
Para reduzir os riscos de infecção, a Kaspersky recomenda:
- Utilizar uma solução de cibersegurança confiável, como o Kaspersky for Mobile. No Android, a ferramenta impede a instalação do malware, enquanto no iOS bloqueia tentativas de conexão com servidores maliciosos e alerta o usuário.
- Evitar armazenar na galeria capturas de tela com informações sensíveis, como frases-chave de carteiras de criptomoedas. Esses dados devem ser mantidos em aplicativos especializados, como o Kaspersky Password Manager.
- Manter atenção ao baixar aplicativos, mesmo em lojas oficiais, já que elas não estão totalmente livres de riscos.
Sobre a equipe de Pesquisa de Ameaças da Kaspersky
A equipe de Pesquisa de Ameaças da Kaspersky é referência global na proteção contra ciberameaças. Atuando tanto na análise quanto no desenvolvimento de tecnologias, seus especialistas garantem que as soluções da empresa sejam constantemente aprimoradas com inteligência de ameaças aprofundada, oferecendo proteção robusta para clientes e para a comunidade em geral.
