SparkCat: Malware Multiplataforma se Espalhando pelas Lojas de Aplicativos

Pesquisadores de cibersegurança da Kaspersky descobriram uma nova campanha de malware denominada “SparkCat”, que visa usuários de Android e iOS através de lojas de aplicativos oficiais, incluindo Google Play e a Apple App Store.

A Kaspersky afirma que esta é a primeira vez que um ladrão é encontrado dentro do ecossistema da Apple, levantando preocupações sobre vulnerabilidades de segurança em aplicativos móveis.

O malware, incorporado em um kit de desenvolvimento de software malicioso (SDK), foi descoberto em aplicações Android e iOS que acumularam mais de 242.000 downloads.

O SparkCat funciona principalmente como um ladrão de reconhecimento óptico de caracteres (OCR), escaneando imagens nas galerias de dispositivos dos usuários para extrair frases de recuperação de carteiras de criptomoedas. Esta técnica permite que os invasores contornem as medidas de segurança tradicionais e obtenham acesso não autorizado aos ativos digitais das vítimas.

A investigação da ESET rastreou a atividade do SparkCat até março de 2024. O malware opera utilizando um plug-in OCR construído com a biblioteca ML Kit do Google para identificar e extrair texto sensível de imagens.

Os dados roubados são então enviados para um servidor de comando e controle (C2) usando um protocolo de comunicação implementado em Rust – uma linguagem de programação raramente usada em aplicações móveis, obscurecendo ainda mais suas operações.

Um dos aplicativos infectados, um serviço de entrega de comida chamado “ComeCome”, foi encontrado no Google Play com mais de 10.000 downloads. Em sua versão 2.0.0, o aplicativo incluía secretamente um software prejudicial chamado “Spark”.

Uma vez instalado, o Spark se conectou a um repositório GitLab para baixar instruções ocultas, que decodificou e descriptografou. Se isso falhasse, ele usava as configurações de backup já incorporadas ao malware.

Para roubar dados, o malware usou uma forte criptografia antes de enviá-los para um servidor controlado por hackers. Ele empregou métodos de criptografia em camadas, incluindo AES-256, chaves RSA e compressão, tornando difícil para os especialistas em segurança rastrear ou quebrar as informações roubadas.

Os aplicativos infectados solicitavam aos usuários que concedessem acesso às suas galerias de fotos sob o pretexto de interações de suporte ao cliente. Se a permissão fosse concedida, o malware procurava ativamente por palavras-chave relacionadas a criptomoedas em vários idiomas, incluindo inglês, chinês e francês, para identificar valiosas frases de recuperação.

Especialistas em segurança alertam os usuários a terem cuidado ao baixar aplicativos, mesmo de fontes oficiais, e a verificar regularmente as permissões dos aplicativos para mitigar possíveis ameaças.

A descoberta do SparkCat destaca os riscos persistentes representados por campanhas de malware sofisticadas dentro de mercados digitais confiáveis.