iOS
A galeria do seu smartphone pode conter fotos e capturas de tela com informações importantes que ali estão mantidas por segurança ou conveniência, como documentos, acordos bancários ou frases-chave para recuperar carteiras de criptomoedas. Todos esses dados podem ser roubados por um aplicativo malicioso, como o malware de roubo SparkCat, que descobrimos. Atualmente, esse malware está configurado para roubar dados de carteiras de criptomoedas, mas ele pode ser facilmente reutilizado para roubar qualquer outra informação valiosa.
O pior é que esse malware chegou às lojas de aplicativos oficiais, com quase 250 mil downloads de aplicativos infectados somente no Google Play. Apesar de aplicativos maliciosos já terem sido encontrados anteriormente no Google Play, esta é a primeira vez que um cavalo de troia para roubo de dados foi detectado na App Store. Como essa ameaça funciona e o que é possível fazer para se proteger?
Recursos extras maliciosos para aplicativos legítimos
Os aplicativos que contêm componentes maliciosos do SparkCat se dividem em duas categorias. Alguns, como vários aplicativos de mensagens semelhantes que alegam funcionalidade de IA, sendo que todos são do mesmo desenvolvedor, foram claramente desenvolvidos como isca. Alguns outros são aplicativos legítimos: serviços de entrega de comida, leitores de notícias e utilitários de carteira de criptomoedas. Ainda não sabemos como a funcionalidade do cavalo de troia foi inserida nesses aplicativos. Pode ter sido resultado de um ataque à cadeia de suprimentos, onde um componente de terceiros usado no aplicativo foi infectado. Ou ainda, os desenvolvedores podem ter integrado deliberadamente o cavalo de troia em seus aplicativos.
O primeiro aplicativo no qual detectamos o SparkCat foi um serviço de entrega de comida chamado ComeCome, disponível nos Emirados Árabes Unidos e na Indonésia. O aplicativo infectado foi encontrado no Google Play e na App Store
O malware de roubo analisa as fotos na galeria do smartphone e, para fazer isso, todos os aplicativos infectados solicitam permissão para acessá-lo. Em muitos casos, a solicitação parece ser totalmente legítima. Por exemplo, o aplicativo de entrega de comida ComeCome solicitou acesso a um chat de suporte ao cliente, logo após a abertura desse chat, o que pareceu ser algo totalmente natural. Outros aplicativos solicitam acesso à galeria ao iniciar a funcionalidade principal, o que ainda parece ser algo inofensivo. Afinal, tudo o que alguém quer é poder compartilhar fotos em um aplicativo de mensagens, certo?
No entanto, assim que o usuário concede acesso a fotos específicas ou à galeria inteira, o malware começa a vasculhar todas as fotos que consegue descobrir em busca de algo valioso.
Roubo com tecnologia de IA
Para encontrar dados de carteiras de criptomoeda entre fotos de gatos e pores do sol, o cavalo de troia tem um módulo de reconhecimento óptico de caracteres (OCR) integrado, baseado no Google ML Kit, uma biblioteca universal de aprendizado de máquina.
Dependendo das configurações de idioma do dispositivo, o SparkCat baixa modelos treinados para detectar o script pertinente nas fotos, seja latim, coreano, chinês ou japonês. Depois de reconhecer o texto em uma imagem, o cavalo de troia faz uma verificação em relação a um conjunto de regras carregadas de seu servidor de comando e controle. Além das palavras-chave da lista (por exemplo, “mnemônico”), o filtro pode ser acionado por padrões específicos, como combinações de letras sem sentido em códigos de backup ou certas sequências de palavras em frases iniciais.
Durante nossa análise, solicitamos uma lista de palavras-chave usadas para pesquisa de OCR dos servidores C2 do cavalo de troia. Os criminosos virtuais estão claramente interessados em frases usadas para recuperar o acesso a carteiras de criptomoedas, conhecidas como mnemônicos
O cavalo de troia carrega todas as fotos contendo texto potencialmente valioso para os servidores dos invasores, juntamente com informações detalhadas sobre o texto reconhecido e o dispositivo do qual a imagem foi roubada.
Escala e vítimas do ataque
Identificamos 10 aplicativos maliciosos no Google Play e 11 na App Store. No momento da publicação, todos os aplicativos maliciosos foram removidos das lojas. O número total de downloads somente do Google Play ultrapassou 242 mil no momento da análise, e nossos dados de telemetria sugerem que o mesmo malware também estava disponível em outros sites e lojas de aplicativos não oficiais.
Entre os aplicativos infectados estão serviços de entrega populares e mensageiros com tecnologia de IA no Google Play e na App Store
A julgar pelos dicionários do SparkCat, ele é “treinado” para roubar dados de usuários em muitos países europeus e asiáticos, e as evidências indicam que os ataques estão em andamento desde, pelo menos, março de 2024. Os autores deste malware provavelmente são fluentes em chinês. Mais detalhes sobre isso, além dos aspectos técnicos do SparkCat, podem ser encontrados no relatório completo no Securelist.
Como se proteger dos cavalos de troia com tecnologia OCR
Infelizmente, o antigo conselho de “baixe apenas aplicativos bem avaliados de lojas de aplicativos oficiais” não é mais uma solução milagrosa, até mesmo a App Store foi infiltrada por um verdadeiro malware de roubo de informações, e incidentes semelhantes ocorreram repetidamente no Google Play. Portanto, precisamos reforçar os critérios aqui: baixe apenas aplicativos bem avaliados, com milhares, ou melhor ainda, milhões de downloads, publicados há pelo menos vários meses. Além disso, verifique os links dos aplicativos em fontes oficiais, como o site dos desenvolvedores, para garantir que eles são autênticos e leia as avaliações, especialmente as negativas. E, claro, não deixe de instalar um sistema de segurança abrangente em todos os seus smartphones e computadores.
Verificar as avaliações negativas do aplicativo ComeCome na App Store poderia ter desmotivado os usuários a baixá-lo
Também é necessário ser extremamente cauteloso ao conceder permissões para novos aplicativos. Antigamente, essa era uma preocupação, principalmente nas configurações de “acessibilidade”, mas agora vemos que até mesmo conceder acesso à galeria pode levar ao roubo de dados pessoais. Se não tiver certeza absoluta sobre a legitimidade de um aplicativo, por exemplo, se não for um mensageiro oficial, mas uma versão modificada, não conceda a ele acesso total a todas as suas fotos e vídeos. Conceda acesso somente a fotos específicas quando necessário.
Armazenar documentos, senhas, dados bancários ou fotos de frases-chave na galeria do seu smartphone é altamente inseguro, além de malwares de roubo como o SparkCat, há sempre o risco de alguém espionar as fotos ou de serem acidentalmente enviadas para um serviço de mensagens ou compartilhamento de arquivos. Essas informações devem ser armazenadas em um aplicativo dedicado. Por exemplo, o Kaspersky Password Manager permite armazenar e sincronizar com segurança não apenas senhas e tokens de autenticação de dois fatores, mas também detalhes de cartões bancários e documentos verificados em todos os seus dispositivos, tudo de forma criptografada. A propósito, este aplicativo vem com nosso Kaspersky Plus e com assinaturas Kaspersky Premium.
Por fim, se já tiver instalado um aplicativo infectado (a lista dos aplicativos está disponível no final do post do Securelist), basta exclui-lo e não utilizá-lo até que o desenvolvedor libere uma versão corrigida. Enquanto isso, analise cuidadosamente a galeria de fotos para avaliar quais dados os criminosos virtuais podem ter obtido. Altere todas as senhas e bloqueie todos os cartões salvos na galeria. Embora a versão do SparkCat que descobrimos busque especificamente frases-semente, é possível que o cavalo de troia possa ser reconfigurado para roubar outras informações. Quanto às frases-semente da carteira de criptomoedas, uma vez criadas, elas não podem ser alteradas. Crie uma nova carteira de criptomoedas e transfira todos os fundos da carteira comprometida para a nova e depois abandone completamente a carteira comprometida.
Dicas