malwares de roubo de dados
Suas fotos são, literalmente, as chaves para sua vida privada. Sua galeria contém seus planos futuros, segredos financeiros, fotos de gatos e, às vezes, até coisas que você nunca compartilharia com ninguém. Mas com que frequência você realmente pensa em proteger essas imagens? Esperamos que, desde que ouviu falar do malware para roubo de dados multiplataforma SparkCat, ele tenha ocupado seus pensamentos mais do que o normal.
Agora descobrimos o irmãozinho daquele Cavalo de Troia, que carinhosamente chamamos de SparkKitty. Mas não se engane com o nome fofo. Por trás dele está um espião que, como o irmão mais velho, quer roubar fotos dos smartphones das vítimas. O que torna essa ameaça única e por que os usuários do Android e do iPhone devem ficar atentos?
Como o SparkKitty chega aos dispositivos
O malware de roubo de dados se espalha de duas maneiras: (i) em ambiente não controlado, isto é, por meio das partes indomáveis da Internet; e (ii) por meio de lojas de aplicativos oficiais, como a App Store e o Google Play. Vamos analisar em detalhes.
Lojas de aplicativos oficiais
Na App Store da Apple, o malware estava à espreita dentro do aplicativo 币coin, projetado para rastrear taxas de criptomoedas e sinais de negociação. Não temos certeza exatamente como essa atividade de espionagem suspeita foi parar no aplicativo. É possível que tenha havido um comprometimento da cadeia de suprimentos e os próprios desenvolvedores não estavam cientes do SparkKitty até que os notificamos. Mas há também uma segunda possibilidade: os desenvolvedores incorporaram deliberadamente o malware de roubo de dados no aplicativo. Independentemente disso, esta é a segunda vez que vemos um Cavalo de Troia entrar na App Store e alertamos a Apple sobre isso. O SparkCat foi o primeiro que apareceu.
Aplicativo infectado na App Store
A história é diferente com o Google Play: aplicativos maliciosos aparecem regularmente, e nós cobrimos essas ameaças com frequência no Kaspersky Daily. Desta vez, detectamos atividade maliciosa em um aplicativo de mensagens que inclui recursos de plataforma de negociação de criptomoedas. Este é um aplicativo popular que foi instalado mais de 10.000 vezes e removido do Google Play no momento do estudo.
Links suspeitos em ambientes não controlados
Dito isto, os invasores foram muito mais criativos desta vez ao espalhar o malware em ambientes não controlados. Certa vez, durante uma revisão de rotina de links suspeitos (clicamos neles para que você não precise clicar!), nossos especialistas descobriram várias páginas semelhantes que distribuíam um mod do TikTok para Android. Uma das principais coisas que esse mod fez foi chamar código adicional. “Parece suspeito”, pensamos. E estávamos certos. O código continha links exibidos como botões dentro do aplicativo, todos direcionando os usuários para uma loja on-line chamada TikToki Mall, que vendia uma variedade de itens. Infelizmente, não conseguimos confirmar se a loja é legítima ou apenas uma grande armadilha, mas um fato curioso chamou a atenção: o TikToki Mall aceita pagamentos em criptomoeda e exige um código de convite para se cadastrar e comprar qualquer item. Não encontramos nenhuma outra atividade suspeita neste estágio e nenhum vestígio do SparkKitty ou outro malware.
Por isso, decidimos adotar uma abordagem diferente e ver o que acontecia quando tocamos nesses mesmos links suspeitos de um iPhone. Isso nos levou a uma página que lembrava vagamente a App Store, que imediatamente nos levou a baixar o “aplicativo TikTok”.
O iOS não permite que os usuários baixem e executem aplicativos de fontes de terceiros. No entanto, a Apple fornece os chamados perfis de provisionamento para todos os membros do Apple Developer Program. Eles permitem a instalação de aplicativos personalizados não disponíveis na App Store em dispositivos de usuário, como versões beta ou aplicativos desenvolvidos para uso corporativo interno. Os invasores exploram esses perfis para distribuir aplicativos que contêm malware.
O processo de instalação foi um pouco diferente do procedimento usual. Normalmente, na App Store, você só precisa tocar em Instalar uma vez, mas, nesse caso, a instalação do TikTok falso exigia etapas adicionais: baixar e instalar um perfil de provisionamento do desenvolvedor.
Instalar um aplicativo de uma fonte desconhecida em um iPhone
Naturalmente, esta versão do TikTok não tinha nenhum vídeo engraçado; era apenas mais uma loja, semelhante à versão do Android. Embora aparentemente inofensiva, a versão do iOS solicitava acesso à galeria do usuário toda vez que era iniciada e esse era o problema. Isso nos levou a identificar um módulo malicioso que enviava imagens da galeria do telefone infectado, junto com informações do dispositivo, para os invasores. Também encontramos seus rastros em outros aplicativos do Android. Para os detalhes técnicos da matéria, confira nosso relatório completo sobre Securelist.
Quem está correndo risco?
Nossos dados mostram que essa campanha tem por alvo principalmente usuários no Sudeste Asiático e na China. Isso não significa, no entanto, que outros países estão além do alcance das garras do SparkKitty. O malware está se espalhando desde pelo menos o início de 2024 e, no último ano e meio, os invasores provavelmente consideraram aumentar sua operação para outros países e continentes. Não há nada que os impeça. Além do mod do TikTok, você também deve ficar atento a atividades maliciosas em vários jogos de azar, jogos para adultos e até em aplicativos relacionados a criptomoedas.
Se você acha que esses invasores estão apenas interessados em admirar suas fotos de férias, pense bem. O SparkKitty carrega cada um de seus instantâneos em seu servidor de comando e controle. Essas imagens podem conter capturas de tela de informações confidenciais, como seed phrases de carteiras criptográficas, permitindo que pessoas mal-intencionadas roubem suas criptomoedas.
Como se proteger do SparkKitty
Esse Cavalo de Troia se espalha de várias maneiras, e proteger-se de cada uma delas é um desafio e tanto. Embora a regra de “baixar apps só de fontes oficiais” ainda valha, encontramos rastros desse malware de roubo de dados no Google Play e na App Store, onde, em tese, os apps são verificados e 100% seguros. O que você pode fazer a respeito?
Recomendamos que se concentre em proteger a galeria de seu smartphone. Naturalmente, o método mais infalível seria nunca tirar fotos ou capturas de tela de informações confidenciais, mas isso é praticamente impossível hoje em dia. Há uma solução: armazene fotos valiosas em um cofre, você só poderá visualizar e enviar fotos protegidas e importantes depois de inserir a senha principal, que somente você sabe. Observe que o conteúdo protegido não se limita a apenas um dispositivo. O gerenciador de senhas pode sincronizar informações entre smartphones e computadores. Isso inclui dados de cartão bancário, tokens de autenticação de dois fatores e qualquer outra coisa que você decida armazenar no Kaspersky Password Manager, incluindo suas fotos.
Também é crucial verificar seu smartphone agora em busca de algum dos aplicativos infectados que descobrimos; a lista estendida está disponível no Securelist. Para Android, o Kaspersky para Android poderá ajudar nesse caso, pois encontrará e removerá malwares para você. No iPhone, devido à arquitetura fechada do iOS, a nossa solução de segurança não pode verificar nem remover aplicativos infectados já instalados, mas bloqueará qualquer tentativa de envio de dados aos servidores dos invasores e avisará você.
E se optar por um assinatura Kaspersky Premium ou Kaspersky Plus, você receberá o Kaspersky Password Manager com sua solução de segurança.
Siga nosso canal no Telegram para ficar por dentro das ameaças cibernéticas mais recentes e lembre-se de guardar suas fotos com segurança.
Saiba mais sobre outros malwares aos quais você precisa ficar atento para manter seu smartphone seguro:
- Como o Necro Trojan atacou 11 milhões de usuários do Android
- Cuidado com os malwares de roubo de dados disfarçados de… convites de casamento
- Cavalos de Troia instalados em smartphones Android falsos
- O cavalo de troia para roubo de dados SparkCat penetra na App Store e no Google Play para roubar dados de fotos
- LianSpy: novo spyware móvel para Android
Dicas