Novo malware SparkKitty atinge mais de 5.000 usuários de criptomoedas por meio de aplicativos da Apple e do Google

Uma nova forma de spyware móvel está explorando pontos fracos nos sistemas de revisão de aplicativos da Apple e do Google para atingir usuários de criptomoedas no Sudeste Asiático e na China.

Apelidado de SparkKitty, o malware se concentra em roubar capturas de tela de frases iniciais de carteira armazenadas em galerias de telefones celulares.

Pesquisadores de segurança cibernética da Kaspersky revelaram que o spyware foi incorporado a aplicativos aparentemente legítimos, incluindo rastreadores de portfólio de criptomoedas e versões modificadas de aplicativos populares como o TikTok.

A campanha de malware, que traça sua linhagem até uma variante anterior conhecida como SparkCat, está ativa desde pelo menos abril de 2024.

Algumas amostras de aplicativos datam ainda mais antigas.

Uma vez instalado, o SparkKitty usa permissões enganosas e tecnologia de reconhecimento óptico de caracteres (OCR) para identificar e transmitir imagens contendo texto sensível, como frases iniciais - um vetor de ataque com sérias implicações para qualquer pessoa que armazene suas frases de recuperação em seus dispositivos.

Infectado aplicativos de criptomoedas ignorou a segurança da loja

A análise da Kaspersky mostra que o SparkKitty se infiltrou com sucesso na Google Play Store oficial e na App Store da Apple.

Os aplicativos afetados, incluindo Soex Wallet Tracker e Coin Wallet Pro, se disfarçaram como ferramentas de criptografia que oferecem rastreamento em tempo real, gerenciamento de portfólio e serviços de carteira multi-chain.

Em um caso, o Soex Wallet Tracker foi baixado mais de 5.000 vezes antes de ser excluído.

A Coin Wallet Pro, que se posicionou como uma carteira digital segura, ganhou força por meio de anúncios de mídia social e canais do Telegram.

Esses canais incentivaram os usuários a baixar o aplicativo e instalar perfis de desenvolvedor adicionais, ignorando os mecanismos normais de revisão de aplicativos.

Essa etapa extra permitiu que o malware operasse fora das proteções padrão de sandbox que normalmente restringem o acesso a galerias de fotos e dados do sistema.

Ao avisar os usuários durante atividades específicas, como bate-papos de suporte, o SparkKitty pode obter acesso ao armazenamento de fotos.

Uma vez concedido, ele usou OCR para extrair quaisquer frases iniciais visíveis nas capturas de tela.

Essas frases são cruciais para o acesso e a recuperação de wallet criptomoedas , e perder o controle sobre elas pode levar à perda total de fundos.

O malware SparkKitty visa o roubo de dados visuais

Ao contrário do malware tradicional que busca acesso direto a aplicativos de carteira ou chaves privadas, o foco do SparkKitty em galerias de imagens indica uma mudança na exploração de hábitos de armazenamento de dados visuais entre os usuários.

Muitos indivíduos, especialmente usuários de criptomoedas mais novos, salvam capturas de tela de suas frases iniciais de carteira por conveniência.

Essa prática, embora desencorajada pela maioria dos provedores de carteira, continua comum.

O SparkKitty capitaliza esse comportamento digitalizando milhares de imagens em segundo plano, procurando sequências de palavras que correspondam a formatos comuns de frases iniciais.

Uma vez identificados, eles são enviados de volta para servidores remotos controlados pelos invasores.

O modelo de reconhecimento visual do malware parece otimizado para comprimentos e formatos de frases iniciais usados por carteiras populares, como MetaMask, Trust Wallet e Phantom.

A Kaspersky afirmou que, embora a maior parte das infecções pareça concentrada no Sudeste Asiático e na China, o método de distribuição de aplicativos - por meio de mídias sociais e lojas de aplicativos - o torna altamente escalável.

Ataques semelhantes podem ser facilmente redirecionados para outras regiões ou bases de usuários com modificações mínimas na base de código.

Apple e Google retiram aplicativos, sistema de revisão sob escrutínio

Após o alerta da Kaspersky, a Apple e o Google removeram os aplicativos sinalizados de suas plataformas.

No entanto, permanecem dúvidas sobre como esses aplicativos conseguiram passar nas avaliações iniciais.

O uso de perfis de desenvolvedor para contornar o sandbox de aplicativos sugere uma vulnerabilidade nas estruturas de permissão do sistema operacional móvel, principalmente nos casos em que os usuários são convencidos a conceder amplo acesso.

A Kaspersky alertou que a campanha ainda pode estar ativa em mercados de aplicativos menos regulamentados ou por meio de downloads diretos de APK.

As equipes de segurança têm monitorado padrões comportamentais semelhantes em aplicativos mais recentes, especialmente aqueles associados a recursos somente de criptomoedas ou ferramentas de finanças descentralizadas (DeFi).

Como precaução, os usuários estão sendo aconselhados a não salvar frases iniciais em suas galerias de fotos e evitar a instalação de perfis desconhecidos ou dar acesso à galeria a aplicativos não confiáveis.

Vários influenciadores de criptomoedas e contas de segurança no Twitter e no Telegram também circularam avisos sobre o incidente.

A equipe da Kaspersky continua rastreando a infraestrutura de rede da SparkKitty e compartilhou indicadores de comprometimento com as autoridades cibernéticas relevantes.