O centro de especialistas Kaspersky Threat Research detectou um novo trojan, denominado SparkCat, ativo na AppStore e Google Play desde, pelo menos, março de 2024. Trata-se do primeiro malware conhecido baseado em reconhecimento óptico presente na AppStore.
O SparkCat utiliza machine learning para escanear galerias de imagens e roubar capturas de tela com frases de recuperação de carteiras de criptomoedas. Ele também pode encontrar e extrair outros dados sensíveis em imagens, como senhas. A Kaspersky reportou as aplicações maliciosas conhecidas para o Google e a Apple.
Como o novo malware é propagado?
O malware é propagado tanto por meio de aplicativos (apps) legítimos infectados quanto por meio de “iscas”, disfarçando-se de apps de mensagens, assistentes de IA, apps de delivery, de criptomoedas, entre outros. Algumas dessas aplicações estão disponíveis nas plataformas oficiais do Google Play e AppStore. Além disso, os dados de telemetria da Kaspersky indicam que versões infectadas estão sendo distribuídas por outras fontes não oficiais. No Google Play, essas aplicações foram baixadas mais de 242 mil vezes.
Quem são as vítimas?
O malware se dirige principalmente a usuários nos Emirados Árabes Unidos e de países da Europa e Ásia. Essa conclusão foi alcançada pelos especialistas, com base tanto na informação sobre as áreas operacionais das aplicações infectadas, quanto na análise técnica do malware. O SparkCat examina as galerias de imagens em busca de palavras-chave em vários idiomas, incluindo chinês, japonês, coreano, inglês, tcheco, francês, italiano, polonês e português. No entanto, os especialistas acreditam que as vítimas também podem vir de outros países.
Como funciona o SparkCat
Uma vez instalado, em certos cenários o novo malware solicita acesso para visualizar as fotos na galeria do smartphone. Em seguida, analisa o texto nas imagens armazenadas utilizando um módulo de reconhecimento óptico de caracteres (OCR). Se o programa detectar palavras-chave relevantes, envia a imagem para os atacantes. O objetivo principal dos hackers é encontrar frases de recuperação para carteiras de criptomoedas. Com essa informação, eles podem obter controle total sobre a carteira da vítima e roubar seus fundos. Além de acessar frases de recuperação, o malware é capaz de extrair outras informações pessoais das capturas de tela, como mensagens e senhas.
“Este é o primeiro caso conhecido de um trojan que usa reconhecimento de caracteres infiltrado na AppStore”, afirma Leandro Cuozzo, analista de malware na Kaspersky. “Quanto à AppStore e ao Google Play, por ora não está claro se as aplicações nessas lojas foram comprometidas por meio de um ataque à cadeia de suprimentos ou por outros métodos diversos. Alguns apps, como os serviços de delivery, parecem legítimos, enquanto outras estão claramente desenhados como iscas.”
“A campanha SparkCat possui algumas características únicas que a tornam perigosa. Em primeiro lugar, ela se propaga por meio de lojas oficiais e opera sem sinais evidentes de infecção. A furtividade desse trojan dificulta sua detecção tanto para os moderadores das lojas quanto para as vítimas. Além disso, as permissões solicitadas parecem razoáveis, o que facilita que passem despercebidas. O acesso à galeria que o malware tenta obter pode parecer essencial para o funcionamento correto do aplicativo, pelo menos da perspectiva do usuário. Essa permissão é normalmente solicitada em contextos pertinentes, como quando os usuários entram em contato com o serviço de atendimento ao cliente”, acrescenta Leandro.
Ao analisar as versões Android do malware, os especialistas da Kaspersky encontraram comentários no código escritos em chinês. Além disso, a versão para iOS continha nomes de diretórios de início de desenvolvedor, “qiongwu” e “quiwengjing”, o que sugere que os grupos por trás da campanha dominam o chinês. No entanto, não há evidências suficientes para atribuir a campanha a um grupo cibercriminoso conhecido.
Ataques impulsionados por Machine Learning
Os cibercriminosos estão prestando cada vez mais atenção às redes neurais em suas ferramentas maliciosas. No caso do SparkCat, o módulo para Android decifra e executa um plugin OCR utilizando a biblioteca Google ML Kit para reconhecer o texto nas imagens armazenadas. Um método similar foi empregado em seu módulo malicioso para iOS.
Para evitar se tornar vítima desse malware, a Kaspersky recomenda as seguintes medidas de segurança: caso o usuário tenha instalado alguma das aplicações infectadas, ela deve ser removida do dispositivo e não deve ser utilizada até que seja lançada uma atualização que elimine a funcionalidade maliciosa. Importante também evitar armazenar capturas de tela contendo informações sensíveis em sua galeria, incluindo frases de recuperação de carteiras de criptomoedas.
