Pesquisadores de segurança cibernética da Kaspersky identificaram uma nova cepa de malware chamada SparkKitty, que tem como alvo específico usuários de smartphones, roubando fotos de seus dispositivos, com foco na extração de frases-semente de criptomoedas e outras informações confidenciais. O malware foi encontrado nas plataformas iOS e Android, oculto em aplicativos aparentemente legítimos disponíveis na Apple App Store e na Google Play Store.
O SparkKitty opera infiltrando-se nos dispositivos dos usuários por meio de aplicativos maliciosos que se disfarçam de utilitários comuns, especialmente aqueles relacionados a criptomoedas. Uma vez instalado, o malware acessa e carrega indiscriminadamente todas as imagens da galeria de fotos do dispositivo para os servidores dos invasores.
O principal objetivo, de acordo com os analistas Sergey Puzan e Dmitry Kalinin, é encontrar capturas de tela contendo frases-semente ou frases de recuperação — as sequências críticas de 12 a 24 palavras que dão acesso total às carteiras de criptomoedas. Frases-semente são frequentemente salvas como capturas de tela pelos usuários para garantir que possam restaurar suas carteiras, se necessário. No entanto, se roubadas por malware, isso pode levar à perda total dos fundos.
“Embora o objetivo principal pareça ser coletar frases-semente de carteiras de criptomoedas, outros dados pessoais altamente sensíveis capturados em fotos também podem ser comprometidos.”
A investigação revelou dois aplicativos maliciosos notáveis que espalham o malware SparkKitty:
- 币coin (pronuncia-se “bi coin”): comercializado como um rastreador de informações sobre criptomoedas, este aplicativo estava disponível na App Store da Apple.
- SOEX: um aplicativo de mensagens com recursos integrados de câmbio de criptomoedas, encontrado no Google Play.
O aplicativo SOEX foi instalado mais de 10.000 vezes antes de ser removido pelo Google após o relatório. O Google confirmou a remoção e informou que o desenvolvedor foi banido. Eles também garantiram aos usuários que o Google Play Protect, habilitado por padrão em dispositivos com o Google Play Services, oferece proteção automática contra esses aplicativos maliciosos, independentemente da fonte.
Além desses aplicativos com temática de criptomoedas, os pesquisadores observaram que o SparkKitty também foi distribuído por meio de:
- Aplicativos de cassino
- Jogos com temática adulta
- Aplicativos clones falsos do TikTok
Essa ampla estratégia de distribuição maximiza o alcance do malware, explorando a popularidade de aplicativos de jogos e mídias sociais, além de serviços de criptomoedas.
O SparkKitty compartilha semelhanças significativas com o SparkCat, uma cepa de malware identificada no início de 2024. O SparkCat também tinha como alvo usuários de criptomoedas, escaneando fotos em busca de frases de recuperação de carteira, mas era mais seletivo nas imagens roubadas. Em contraste, o SparkKitty é menos seletivo, copiando toda a galeria de fotos.
Ambas as cepas parecem se originar do mesmo agente ou grupo de ameaças, pois compartilham estruturas de código e caminhos de arquivo nos servidores dos invasores. Esta campanha contínua está ativa desde o início de 2024, representando um risco constante para usuários de dispositivos móveis em todo o mundo.
É importante destacar que o malware não impõe restrições técnicas que o impeçam de infectar dispositivos em qualquer área do mundo. Dada a natureza global das lojas de aplicativos, qualquer usuário, de qualquer lugar, pode ser potencialmente exposto se baixar aplicativos comprometidos.
Carteiras de criptomoedas dependem de frases-semente como chave mestra para acessar fundos. Se uma frase-semente for comprometida, agentes maliciosos podem esvaziar as carteiras instantaneamente, transferindo fundos irreversivelmente no blockchain. Ao contrário das credenciais de conta tradicionais, não há senhas para redefinir ou recuperar.
Os usuários frequentemente armazenam essas frases como capturas de tela ou anotações escritas, que, se acessadas por malwares como o SparkKitty, podem levar a perdas financeiras catastróficas.
Especialistas em segurança cibernética recomendam várias precauções:
- Evite instalar aplicativos de fontes não confiáveis, mesmo que apareçam em lojas de aplicativos oficiais.
- Atualize dispositivos e aplicativos regularmente para corrigir vulnerabilidades.
- Use carteiras de hardware para armazenar criptomoedas, que não exponham frases-chave digitalmente.
- Nunca salve frases-chave como fotos ou arquivos digitais em dispositivos conectados à internet. Anote-as e armazene-as com segurança offline.
- Use softwares de segurança confiáveis e ative recursos como o Google Play Protect.
- Seja cauteloso com aplicativos que prometem serviços de criptomoedas, especialmente os novos ou menos conhecidos.
Phishing e malware direcionados a detentores de criptomoedas aumentaram nos últimos anos, refletindo o aumento do valor e da adoção de ativos digitais. Os invasores usam redes sociais sofisticadas engenharia combinada com malware para burlar a segurança. Em incidentes relacionados, golpes de phishing tiveram como alvo indivíduos de alto patrimônio e participantes institucionais, às vezes causando perdas na casa dos milhões de dólares. A natureza descentralizada e irreversível das transações em blockchain torna a prevenção a principal defesa.
