Pesquisadores da Kaspersky descobriram uma sofisticada nova campanha de malware móvel chamada “SparkKitty” que infiltrou com sucesso tanto a App Store da Apple quanto o Google Play, visando especificamente capturas de tela de frases-semente de carteiras de criptomoeda armazenadas nas galerias de fotos dos usuários.
O malware, que evolui de uma campanha SparkCat previamente identificada, utiliza tecnologia de reconhecimento óptico de caracteres (OCR) para escanear e exfiltrar imagens contendo informações sensíveis de carteiras de criptomoeda de dispositivos iOS e Android.
A campanha, que está ativa desde pelo menos fevereiro de 2024, tem como alvo principalmente usuários no Sudeste Asiático e na China através de aplicativos infectados disfarçados como mods do TikTok, rastreadores de portfólio de criptomoedas, jogos de azar e aplicativos de conteúdo adulto que solicitam acesso à galeria de fotos sob pretextos aparentemente legítimos.
Esses cibercriminosos contornaram com sucesso as medidas de segurança das lojas de aplicativos oficiais para implantar aplicativos infectados que pareciam legítimos para triagens automatizadas e revisores humanos.
Dois exemplos proeminentes incluem Soex Wallet Tracker, que se disfarçou como um aplicativo de gerenciamento de portfólio e foi baixado mais de 5.000 vezes do Google Play, e Coin Wallet Pro, que se comercializou como uma carteira multi-chain segura antes de ser promovido através de anúncios em mídias sociais e canais do Telegram.
Como o ladrão de frases-semente do SparkKitty evitou a detecção do iOS e Android
Em dispositivos iOS, o malware geralmente se disfarçava como versões modificadas de frameworks populares como AFNetworking ou Alamofire, explorando o sistema de perfil de provisionamento empresarial da Apple que permite que organizações distribuam aplicativos internos sem a aprovação da App Store.
Embora legítimos para uso corporativo, esses perfis empresariais forneceram aos cibercriminosos um caminho para instalar aplicativos não assinados que poderiam contornar os processos padrão de triagem de segurança da Apple.
Na verdade, eles chegam a criar versões modificadas de bibliotecas de código aberto legítimas que mantêm a funcionalidade original enquanto adicionam capacidades maliciosas.
SparkKitty: Nome fofo, GRANDE ameaça
O novo "irmão mais novo" do malware SparkCat se esconde em aplicativos falsos no Google Play e na App Store—roubando todas as suas fotos, incluindo capturas de tela sensíveis.
Proteja-se:
Use armazenamento criptografado
Escaneie com #KasperskyPremium
Detalhes:… pic.twitter.com/p3PeRGZnp7
— Kaspersky (@kaspersky) 23 de junho de 2025
O framework AFNetworking corrompido, por exemplo, manteve suas capacidades de rede originais enquanto secretamente incorporava funcionalidade de roubo de fotos através de uma classe oculta AFImageDownloaderTool que era ativada durante o carregamento do aplicativo por meio do mecanismo de seletor de carregamento automático do Objective-C.
Essa abordagem permitiu que o malware permanecesse dormente até que condições específicas fossem atendidas, como os usuários navegando para telas de chat de suporte onde os pedidos de acesso a fotos pareceriam naturais e menos suspeitos.
Em plataformas Android, o malware empregou métodos de distribuição igualmente sofisticados, incorporando código malicioso diretamente em pontos de entrada do aplicativo enquanto usava temas de criptomoeda legítimos para atrair vítimas-alvo.
Tecnologia OCR transforma fotos em mina de ouro digital
A característica mais perigosa do SparkKitty é sua sofisticada tecnologia de reconhecimento óptico de caracteres, que identifica e extrai automaticamente informações relacionadas a criptomoedas das galerias de fotos das vítimas sem exigir que os atacantes as revisem manualmente.
Ao contrário de malwares móveis anteriores que dependiam do roubo em massa de fotos e análise manual, o SparkKitty emprega a integração da biblioteca Google ML (Machine Learning) Kit para escanear imagens em busca de padrões de texto. Ele busca especificamente frases-semente, chaves privadas e endereços de carteiras que os usuários costumam capturar como backup, apesar das recomendações de segurança contra tais práticas.
Como a Kaspersky explicou, a implementação de OCR do malware demonstra capacidades avançadas de reconhecimento de padrões. Ele filtra automaticamente imagens com base no conteúdo de texto e envia apenas aquelas contendo informações relacionadas a criptomoedas para servidores de comando e controle.
O sistema procura blocos de texto específicos contendo contagens mínimas de palavras e requisitos de caracteres, distinguindo efetivamente entre fotos casuais e informações financeiras potencialmente valiosas.
Essa abordagem direcionada reduz os requisitos de transmissão de dados enquanto maximiza o valor das informações roubadas, permitindo que os atacantes processem um número maior de vítimas de maneira mais eficiente.
Campanhas relacionadas descobertas durante a investigação da Kaspersky revelaram implementações ainda mais sofisticadas, incluindo versões que visam procedimentos de backup exibindo avisos de segurança falsos instruindo os usuários a “fazer backup da chave da sua carteira nas configurações dentro de 12 horas” ou arriscar perder o acesso às suas carteiras.
Essas sobreposições de engenharia social orientam as vítimas a acessar suas frases-semente, permitindo que o Logger de Acessibilidade do malware capture as informações diretamente em vez de depender apenas de capturas de tela existentes.
As implicações mais amplas se estendem além do roubo individual para incluir operações sistemáticas de mineração de criptomoedas, como evidenciado por campanhas relacionadas, como o grupo APT Librarian Ghouls que combina roubo de credenciais com mineração não autorizada de Monero em dispositivos comprometidos.
O grupo APT Librarian Ghouls transformou computadores de empresas russas em operações de mineração de criptomoedas encobertas enquanto roubava credenciais de carteiras e chaves privadas através de sofisticadas campanhas de phishing direcionadas a empresas industriais. #CryptoHack …https://t.co/nslftE8bL6
— Cryptonews.com (@cryptonews) 11 de junho de 2025
Esses ataques de dupla finalidade criam fluxos de receita contínuos para cibercriminosos, que roubam ativos de criptomoeda existentes e usam os recursos computacionais das vítimas para minerar ativos digitais adicionais. Assim, dispositivos comprometidos efetivamente se tornam infraestrutura geradora de lucro por períodos prolongados.
O post Kaspersky Warns New Crypto Malware Steals Seed Phrase Screenshots From iOS and Android apareceu primeiro em Cryptonews.
