Pesquisadores da Kaspersky identificaram um novo trojan espião chamado SparkKitty, que tem como alvo smartphones com sistemas operacionais iOS e Android. O malware, segundo a empresa de segurança digital, é capaz de coletar imagens do dispositivo infectado, além de outras informações sensíveis, e enviá-las diretamente aos criminosos. O objetivo, apontam os especialistas, é o roubo de ativos em criptomoedas.
O SparkKitty foi encontrado em aplicativos relacionados a criptomoedas, apostas e em uma versão modificada do TikTok. Esses apps maliciosos estavam sendo distribuídos não apenas em sites fraudulentos, mas também, em alguns casos, nas lojas oficiais de aplicativos — a App Store e o Google Play. A Kaspersky notificou Apple e Google sobre a presença dos aplicativos contaminados.
Parte das características técnicas do SparkKitty remete a uma ameaça anterior, o trojan SparkCat, detectado no passado pela própria Kaspersky. O SparkCat ficou conhecido por usar tecnologia de Reconhecimento Ótico de Caracteres (OCR) para identificar e roubar imagens com frases de recuperação de carteiras digitais e senhas — marcando o primeiro caso desse tipo envolvendo dispositivos iOS.
No caso do SparkKitty, o app malicioso na App Store se apresentava como um aplicativo de criptomoedas com nome em chinês (币coin). Em páginas de phishing que simulavam a loja da Apple, os criminosos também ofereciam versões alteradas do TikTok e apps de apostas. Para burlar as restrições de instalação do iOS, os golpistas exploraram o uso de certificados empresariais e perfis de provisionamento, mecanismos legítimos normalmente usados por desenvolvedores. Com isso, conseguiram instalar o malware nos dispositivos.
Durante o uso da versão modificada do TikTok, por exemplo, o SparkKitty não apenas roubava imagens da galeria do usuário durante o login, mas também inseria links para uma loja suspeita no perfil da vítima — loja essa que aceitava apenas criptomoedas como forma de pagamento.
No sistema Android, o malware foi disseminado tanto por meio de sites de terceiros quanto pelo Google Play. Um dos aplicativos infectados, o mensageiro SOEX com função de troca de criptomoedas, foi baixado mais de 10 mil vezes. Arquivos APK de apps comprometidos também foram encontrados fora das lojas oficiais, promovidos principalmente em redes sociais como o YouTube.
Segundo os pesquisadores, embora os aplicativos funcionassem normalmente à primeira vista, em segundo plano realizavam o envio de imagens da galeria dos usuários, onde poderiam encontrar frases de recuperação ou outras informações sensíveis relacionadas a carteiras digitais. A conexão dos apps com o universo cripto, somada ao modelo de pagamento exclusivo em criptomoedas, reforça a tese de que os alvos principais são os ativos digitais das vítimas.
Para evitar ser vítima do SparkKitty, a Kaspersky recomenda:
-
Desinstalar imediatamente qualquer aplicativo identificado como infectado e aguardar por atualizações seguras antes de reinstalar.
-
Verificar com cautela os pedidos de acesso à galeria de fotos e conceder permissões apenas quando absolutamente necessário.
-
Evitar armazenar capturas de tela com informações sensíveis, como frases de recuperação ou senhas.
-
Utilizar gerenciadores de senhas para armazenar dados de acesso de forma segura.
-
Instalar softwares de proteção confiáveis. No caso do iOS, a solução da Kaspersky alerta sobre tentativas de envio de dados e bloqueia conexões suspeitas com servidores criminosos.
