{"id":23947,"date":"2025-07-04T09:00:29","date_gmt":"2025-07-04T12:00:29","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=23947"},"modified":"2025-07-03T14:12:02","modified_gmt":"2025-07-03T17:12:02","slug":"ios-android-stealer-sparkkitty","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/ios-android-stealer-sparkkitty\/23947\/","title":{"rendered":"Suas fotos de gato est\u00e3o em risco: a amea\u00e7a representada pelo novo Cavalo de Troia SparkKitty"},"content":{"rendered":"

Suas fotos s\u00e3o, literalmente, as chaves para sua vida privada. Sua galeria cont\u00e9m seus planos futuros, segredos financeiros, fotos de gatos e, \u00e0s vezes, at\u00e9 coisas que voc\u00ea nunca compartilharia com ningu\u00e9m. Mas com que frequ\u00eancia voc\u00ea realmente pensa em proteger essas imagens? Esperamos que, desde que ouviu falar do malware para roubo de dados multiplataforma SparkCat<\/a>, ele tenha ocupado seus pensamentos mais do que o normal.<\/p>\n

Agora descobrimos o irm\u00e3ozinho daquele Cavalo de Troia, que carinhosamente chamamos de SparkKitty. Mas n\u00e3o se engane com o nome fofo. Por tr\u00e1s dele est\u00e1 um espi\u00e3o que, como o irm\u00e3o mais velho, quer roubar fotos dos smartphones das v\u00edtimas. O que torna essa amea\u00e7a \u00fanica e por que os usu\u00e1rios do Android e do iPhone devem ficar atentos?<\/p>\n

Como o SparkKitty chega aos dispositivos<\/h2>\n

O malware de roubo de dados se espalha de duas maneiras: (i) em ambiente n\u00e3o controlado, isto \u00e9, por meio das partes indom\u00e1veis da Internet; e (ii) por meio de lojas de aplicativos oficiais, como a App Store e o Google Play. Vamos analisar em detalhes.<\/p>\n

Lojas de aplicativos oficiais<\/h3>\n

Na App Store da Apple, o malware estava \u00e0 espreita dentro do aplicativo \u5e01<\/strong>coin<\/strong>, projetado para rastrear taxas de criptomoedas e sinais de negocia\u00e7\u00e3o. N\u00e3o temos certeza exatamente como essa atividade de espionagem suspeita foi parar no aplicativo. \u00c9 poss\u00edvel que tenha havido um comprometimento da cadeia de suprimentos<\/a> e os pr\u00f3prios desenvolvedores n\u00e3o estavam cientes do SparkKitty at\u00e9 que os notificamos. Mas h\u00e1 tamb\u00e9m uma segunda possibilidade: os desenvolvedores incorporaram deliberadamente o malware de roubo de dados no aplicativo. Independentemente disso, esta \u00e9 a segunda vez que vemos um Cavalo de Troia entrar na App Store e alertamos a Apple sobre isso. O SparkCat<\/a> foi o primeiro que apareceu.<\/p>\n

\"Aplicativo<\/a>

Aplicativo infectado na App Store<\/p><\/div>\n

A hist\u00f3ria \u00e9 diferente com o Google Play: aplicativos maliciosos aparecem regularmente, e n\u00f3s cobrimos essas amea\u00e7as com frequ\u00eancia<\/a> no Kaspersky Daily. Desta vez, detectamos atividade maliciosa em um aplicativo de mensagens que inclui recursos de plataforma de negocia\u00e7\u00e3o de criptomoedas. Este \u00e9 um aplicativo popular que foi instalado mais de 10.000 vezes e removido do Google Play no momento do estudo.<\/p>\n

Links suspeitos em ambientes n\u00e3o controlados<\/h3>\n

Dito isto, os invasores foram muito mais criativos desta vez ao espalhar o malware em ambientes n\u00e3o controlados. Certa vez, durante uma revis\u00e3o de rotina de links suspeitos (clicamos neles para que voc\u00ea n\u00e3o precise clicar!), nossos especialistas descobriram v\u00e1rias p\u00e1ginas semelhantes que distribu\u00edam um mod do TikTok para Android. Uma das principais coisas que esse mod fez foi chamar c\u00f3digo adicional. \u201cParece suspeito\u201d, pensamos. E est\u00e1vamos certos. O c\u00f3digo continha links exibidos como bot\u00f5es dentro do aplicativo, todos direcionando os usu\u00e1rios para uma loja on-line chamada TikToki Mall, que vendia uma variedade de itens. Infelizmente, n\u00e3o conseguimos confirmar se a loja \u00e9 leg\u00edtima ou apenas uma grande armadilha, mas um fato curioso chamou a aten\u00e7\u00e3o: o TikToki Mall aceita pagamentos em criptomoeda e exige um c\u00f3digo de convite para se cadastrar e comprar qualquer item. N\u00e3o encontramos nenhuma outra atividade suspeita neste est\u00e1gio e nenhum vest\u00edgio do SparkKitty ou outro malware.<\/p>\n

Por isso, decidimos adotar uma abordagem diferente e ver o que acontecia quando tocamos nesses mesmos links suspeitos de um iPhone. Isso nos levou a uma p\u00e1gina que lembrava vagamente a App Store, que imediatamente nos levou a baixar o \u201caplicativo TikTok\u201d.<\/p>\n

O iOS n\u00e3o permite que os usu\u00e1rios baixem e executem aplicativos de fontes de terceiros. No entanto, a Apple fornece os chamados perfis de provisionamento para todos os membros do Apple Developer Program. Eles permitem a instala\u00e7\u00e3o de aplicativos personalizados n\u00e3o dispon\u00edveis na App Store em dispositivos de usu\u00e1rio, como vers\u00f5es beta ou aplicativos desenvolvidos para uso corporativo interno. Os invasores exploram esses perfis para distribuir aplicativos que cont\u00eam malware.<\/em><\/p><\/blockquote>\n

O processo de instala\u00e7\u00e3o foi um pouco diferente do procedimento usual. Normalmente, na App Store, voc\u00ea s\u00f3 precisa tocar em Instalar<\/strong> uma vez, mas, nesse caso, a instala\u00e7\u00e3o do TikTok falso exigia etapas adicionais: baixar e instalar um perfil de provisionamento do desenvolvedor.<\/p>\n

\"Instalar<\/a>

Instalar um aplicativo de uma fonte desconhecida em um iPhone<\/p><\/div>\n

Naturalmente, esta vers\u00e3o do TikTok n\u00e3o tinha nenhum v\u00eddeo engra\u00e7ado; era apenas mais uma loja, semelhante \u00e0 vers\u00e3o do Android. Embora aparentemente inofensiva, a vers\u00e3o do iOS solicitava acesso \u00e0 galeria do usu\u00e1rio toda vez que era iniciada e esse era o problema. Isso nos levou a identificar um m\u00f3dulo malicioso que enviava imagens da galeria do telefone infectado, junto com informa\u00e7\u00f5es do dispositivo, para os invasores. Tamb\u00e9m encontramos seus rastros em outros aplicativos do Android. Para os detalhes t\u00e9cnicos da mat\u00e9ria, confira nosso relat\u00f3rio completo sobre Securelist<\/a>.<\/p>\n

Quem est\u00e1 correndo risco?<\/h2>\n

Nossos dados mostram que essa campanha tem por alvo principalmente usu\u00e1rios no Sudeste Asi\u00e1tico e na China. Isso n\u00e3o significa, no entanto, que outros pa\u00edses est\u00e3o al\u00e9m do alcance das garras do SparkKitty. O malware est\u00e1 se espalhando desde pelo menos o in\u00edcio de 2024 e, no \u00faltimo ano e meio, os invasores provavelmente consideraram aumentar sua opera\u00e7\u00e3o para outros pa\u00edses e continentes. N\u00e3o h\u00e1 nada que os impe\u00e7a. Al\u00e9m do mod do TikTok, voc\u00ea tamb\u00e9m deve ficar atento a atividades maliciosas em v\u00e1rios jogos de azar, jogos para adultos e at\u00e9 em aplicativos relacionados a criptomoedas.<\/p>\n

Se voc\u00ea acha que esses invasores est\u00e3o apenas interessados em admirar suas fotos de f\u00e9rias, pense bem. O SparkKitty carrega cada um de seus instant\u00e2neos em seu servidor de comando e controle. Essas imagens podem conter capturas de tela de informa\u00e7\u00f5es confidenciais, como seed phrases de carteiras criptogr\u00e1ficas, permitindo que pessoas mal-intencionadas roubem suas criptomoedas.<\/p>\n

Como se proteger do SparkKitty<\/h2>\n

Esse Cavalo de Troia se espalha de v\u00e1rias maneiras, e proteger-se de cada uma delas \u00e9 um desafio e tanto. Embora a regra de \u201cbaixar apps s\u00f3 de fontes oficiais\u201d ainda valha, encontramos rastros desse malware de roubo de dados no Google Play e na App Store, onde, em tese, os apps s\u00e3o verificados e 100% seguros. O que voc\u00ea pode fazer a respeito?<\/p>\n

Recomendamos que se concentre em proteger a galeria de seu smartphone. Naturalmente, o m\u00e9todo mais infal\u00edvel seria nunca tirar fotos ou capturas de tela de informa\u00e7\u00f5es confidenciais, mas isso \u00e9 praticamente imposs\u00edvel hoje em dia. H\u00e1 uma solu\u00e7\u00e3o: armazene fotos valiosas em um cofre<\/a>, voc\u00ea s\u00f3 poder\u00e1 visualizar e enviar fotos protegidas e importantes depois de inserir a senha principal, que somente voc\u00ea sabe<\/a>. Observe que o conte\u00fado protegido n\u00e3o se limita a apenas um dispositivo. O gerenciador de senhas pode sincronizar informa\u00e7\u00f5es entre smartphones e computadores. Isso inclui dados de cart\u00e3o banc\u00e1rio, tokens de autentica\u00e7\u00e3o de dois fatores e qualquer outra coisa que voc\u00ea decida armazenar no Kaspersky Password Manager<\/a>, incluindo suas fotos.<\/p>\n

Tamb\u00e9m \u00e9 crucial verificar seu smartphone agora em busca de algum dos aplicativos infectados que descobrimos; a lista estendida est\u00e1 dispon\u00edvel no Securelist<\/a>. Para Android, o Kaspersky para Android<\/a> poder\u00e1 ajudar nesse caso, pois encontrar\u00e1 e remover\u00e1 malwares para voc\u00ea. No iPhone, devido \u00e0 arquitetura fechada do iOS, a nossa solu\u00e7\u00e3o de seguran\u00e7a<\/a> n\u00e3o pode verificar nem remover aplicativos infectados j\u00e1 instalados, mas bloquear\u00e1 qualquer tentativa de envio de dados aos servidores dos invasores e avisar\u00e1 voc\u00ea.<\/p>\n

E se optar por um assinatura Kaspersky Premium<\/a> ou Kaspersky Plus<\/a>, voc\u00ea receber\u00e1 o Kaspersky Password Manager<\/a>\u00a0com sua solu\u00e7\u00e3o de seguran\u00e7a.<\/p>\n

Siga nosso canal no Telegram<\/a>\u00a0para ficar por dentro das amea\u00e7as cibern\u00e9ticas mais recentes e lembre-se de guardar suas fotos com seguran\u00e7a.<\/p>\n

Saiba mais sobre outros malwares aos quais voc\u00ea precisa ficar atento para manter seu smartphone seguro:<\/p>\n