Recursos extras maliciosos para aplicativos leg\u00edtimos<\/h2>\n
Os aplicativos que cont\u00eam componentes maliciosos do SparkCat se dividem em duas categorias. Alguns, como v\u00e1rios aplicativos de mensagens semelhantes que alegam funcionalidade de IA, sendo que todos s\u00e3o do mesmo desenvolvedor, foram claramente desenvolvidos como isca. Alguns outros s\u00e3o aplicativos leg\u00edtimos: servi\u00e7os de entrega de comida, leitores de not\u00edcias e utilit\u00e1rios de carteira de criptomoedas. Ainda n\u00e3o sabemos como a funcionalidade do trojan foi inserida nesses aplicativos. Pode ter sido resultado de um ataque \u00e0 cadeia de suprimentos<\/a>, onde um componente de terceiros usado no aplicativo foi infectado. Ou ainda, os desenvolvedores podem ter integrado deliberadamente o trojan em seus aplicativos.<\/p>\n O primeiro aplicativo no qual detectamos o SparkCat foi um servi\u00e7o de entrega de comida chamado ComeCome, dispon\u00edvel nos Emirados \u00c1rabes Unidos e na Indon\u00e9sia. O aplicativo infectado foi encontrado no Google Play e na App Store<\/p><\/div>\n O malware de roubo analisa as fotos na galeria do smartphone e, para fazer isso, todos os aplicativos infectados solicitam permiss\u00e3o para acess\u00e1-lo. Em muitos casos, a solicita\u00e7\u00e3o parece ser totalmente leg\u00edtima. Por exemplo, o aplicativo de entrega de comida ComeCome solicitou acesso a um chat de suporte ao cliente, logo ap\u00f3s a abertura desse chat, o que pareceu ser algo totalmente natural. Outros aplicativos solicitam acesso \u00e0 galeria ao iniciar a funcionalidade principal, o que ainda parece ser algo inofensivo. Afinal, tudo o que algu\u00e9m quer \u00e9 poder compartilhar fotos em um aplicativo de mensagens, certo?<\/p>\n No entanto, assim que o usu\u00e1rio concede acesso a fotos espec\u00edficas ou \u00e0 galeria inteira, o malware come\u00e7a a vasculhar todas as fotos que consegue descobrir em busca de algo valioso.<\/p>\n Para encontrar dados de carteiras de criptomoeda entre fotos de gatos e pores do sol, o trojan tem um m\u00f3dulo de reconhecimento \u00f3ptico de caracteres (OCR) integrado, baseado no Google ML Kit, uma biblioteca universal de aprendizado de m\u00e1quina.<\/p>\n Dependendo das configura\u00e7\u00f5es de idioma do dispositivo, o SparkCat baixa modelos treinados para detectar o script pertinente nas fotos, seja latim, coreano, chin\u00eas ou japon\u00eas. Depois de reconhecer o texto em uma imagem, o trojan faz uma verifica\u00e7\u00e3o em rela\u00e7\u00e3o a um conjunto de regras carregadas de seu servidor de comando e controle. Al\u00e9m das palavras-chave da lista (por exemplo, \u201cmnem\u00f4nico\u201d), o filtro pode ser acionado por padr\u00f5es espec\u00edficos, como combina\u00e7\u00f5es de letras sem sentido em c\u00f3digos de backup ou certas sequ\u00eancias de palavras em frases iniciais.<\/p>\n Durante nossa an\u00e1lise, solicitamos uma lista de palavras-chave usadas para pesquisa de OCR dos servidores C2 do trojan. Os criminosos virtuais est\u00e3o claramente interessados em frases usadas para recuperar o acesso a carteiras de criptomoedas, conhecidas como mnem\u00f4nicos<\/p><\/div>\n O trojan carrega todas as fotos contendo texto potencialmente valioso para os servidores dos invasores, juntamente com informa\u00e7\u00f5es detalhadas sobre o texto reconhecido e o dispositivo do qual a imagem foi roubada.<\/p>\n Identificamos 10 aplicativos maliciosos no Google Play e 11 na App Store. No momento da publica\u00e7\u00e3o, todos os aplicativos maliciosos foram removidos das lojas. O n\u00famero total de downloads somente do Google Play ultrapassou 242 mil no momento da an\u00e1lise, e nossos dados de telemetria sugerem que o mesmo malware tamb\u00e9m estava dispon\u00edvel em outros sites e lojas de aplicativos n\u00e3o oficiais.<\/p>\n Entre os aplicativos infectados est\u00e3o servi\u00e7os de entrega populares e mensageiros com tecnologia de IA no Google Play e na App Store<\/p><\/div>\n A julgar pelos dicion\u00e1rios do SparkCat, ele \u00e9 \u201ctreinado\u201d para roubar dados de usu\u00e1rios em muitos pa\u00edses europeus e asi\u00e1ticos, e as evid\u00eancias indicam que os ataques est\u00e3o em andamento desde, pelo menos, mar\u00e7o de 2024. Os autores deste malware provavelmente s\u00e3o fluentes em chin\u00eas. Mais detalhes sobre isso, al\u00e9m dos aspectos t\u00e9cnicos do SparkCat, podem ser encontrados no relat\u00f3rio completo no Securelist<\/a>.<\/p>\n Infelizmente, o antigo conselho de \u201cbaixe apenas aplicativos bem avaliados de lojas de aplicativos oficiais\u201d n\u00e3o \u00e9 mais uma solu\u00e7\u00e3o milagrosa, at\u00e9 mesmo a App Store foi infiltrada por um verdadeiro malware de roubo de informa\u00e7\u00f5es, e incidentes semelhantes ocorreram repetidamente<\/a> no Google Play. Portanto, precisamos refor\u00e7ar os crit\u00e9rios aqui: baixe apenas aplicativos bem avaliados, com milhares, ou melhor ainda, milh\u00f5es de downloads, publicados h\u00e1 pelo menos v\u00e1rios meses. Al\u00e9m disso, verifique os links dos aplicativos em fontes oficiais, como o site dos desenvolvedores, para garantir que eles s\u00e3o aut\u00eanticos e leia as avalia\u00e7\u00f5es, especialmente as negativas. E, claro, n\u00e3o deixe de instalar um sistema de seguran\u00e7a abrangente<\/a>\u00a0em todos os seus smartphones e computadores.<\/p>\n Verificar as avalia\u00e7\u00f5es negativas do aplicativo ComeCome na App Store poderia ter desmotivado os usu\u00e1rios a baix\u00e1-lo<\/p><\/div>\n Tamb\u00e9m \u00e9 necess\u00e1rio ser extremamente cauteloso<\/a> ao conceder permiss\u00f5es para novos aplicativos. Antigamente, essa era uma preocupa\u00e7\u00e3o, principalmente nas configura\u00e7\u00f5es de \u201cacessibilidade\u201d, mas agora vemos que at\u00e9 mesmo conceder acesso \u00e0 galeria pode levar ao roubo de dados pessoais. Se n\u00e3o tiver certeza absoluta sobre a legitimidade de um aplicativo, por exemplo, se n\u00e3o for um mensageiro oficial, mas uma vers\u00e3o modificada, n\u00e3o conceda a ele acesso total a todas as suas fotos e v\u00eddeos. Conceda acesso somente a fotos espec\u00edficas quando necess\u00e1rio.<\/p>\n Armazenar documentos, senhas, dados banc\u00e1rios ou fotos de frases-chave na galeria do seu smartphone \u00e9 altamente inseguro, al\u00e9m de malwares de roubo como o SparkCat, h\u00e1 sempre o risco de algu\u00e9m espionar as fotos ou de serem acidentalmente enviadas para um servi\u00e7o de mensagens ou compartilhamento de arquivos. Essas informa\u00e7\u00f5es devem ser armazenadas em um aplicativo dedicado. Por exemplo, o Kaspersky Password Manager<\/a> permite armazenar e sincronizar com seguran\u00e7a n\u00e3o apenas senhas e tokens de autentica\u00e7\u00e3o de dois fatores, mas tamb\u00e9m detalhes de cart\u00f5es banc\u00e1rios e documentos verificados em todos os seus dispositivos, tudo de forma criptografada. A prop\u00f3sito, este aplicativo vem com nosso Kaspersky Plus<\/a> e com assinaturas Kaspersky Premium<\/a>.<\/p>\n![\"O](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2025\/02\/13164034\/ios-android-ocr-stealer-sparkcat-01-635x1024.png\")
<\/a>Roubo com tecnologia de IA<\/h2>\n
![\"Palavras-chave](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2025\/02\/13171010\/ios-android-ocr-stealer-sparkcat-02-1024x213.png\")
<\/a>Escala e v\u00edtimas do ataque<\/h2>\n
![\"Aplicativos](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2025\/02\/13171226\/ios-android-ocr-stealer-sparkcat-03-1024x738.png\")
<\/a>Como se proteger dos trojan com tecnologia OCR<\/h2>\n
![\"Cr\u00edtica](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2025\/02\/13171714\/ios-android-ocr-stealer-sparkcat-04-1024x508.png\")
<\/a>