Pesquisadores de segurança da Kaspersky descobriram uma campanha de malware móvel direcionada a usuários de criptomoedas por meio de aplicativos infectados.
O spyware SparkKitty supostamente rouba capturas de tela do dispositivo contendo frases-semente usando tecnologia de reconhecimento óptico de caracteres nas plataformas iOS e Android através de lojas de aplicativos oficiais.
O malware SparkKitty infiltra lojas de aplicativos oficiais com foco em criptomoedas
Pesquisadores da Kaspersky descobriram a campanha de spyware SparkKitty em janeiro de 2025, após a sua identificação anterior do malware SparkCat direcionado a carteiras de criptomoedas. A nova ameaça distribui aplicativos maliciosos por meio de fontes não oficiais, assim como nas plataformas oficiais do Google Play e App Store, com aplicativos infectados já removidos do Google Play após notificações dos pesquisadores.
O SparkKitty ataca plataformas iOS e Android com múltiplos mecanismos de entrega para cada uma. No iOS, as cargas de malware são entregues por meio de estruturas que se disfarçam como bibliotecas legítimas, como AFNetworking.framework ou Alamofire.framework, ou bibliotecas ofuscadas que se passam por libswiftDarwin.dylib. O malware também se insere diretamente nos aplicativos.
Os sistemas operacionais Android utilizam tanto as linguagens Java quanto Kotlin, sendo as versões Kotlin empregadas como módulos Xposed maliciosos. A maioria das versões de malware sequestra indiscriminadamente todas as imagens nos dispositivos, embora os pesquisadores tenham detectado clusters maliciosos semelhantes empregando reconhecimento óptico de caracteres para atacar fotos específicas com informações sensíveis.
A campanha está ativa desde pelo menos fevereiro de 2024 e também compartilhou táticas de direcionamento e infraestrutura com a operação anterior do SparkCat.
O SparkKitty tem um alcance mais amplo do que o ataque direcionado do SparkCat a frases-semente de criptomoedas, pois coleta todas as imagens disponíveis de dispositivos infectados. Isso tem o potencial de extrair outros tipos de informações financeiras e pessoais sensíveis armazenadas nas galerias dos dispositivos.
Mods do TikTok de lojas obscuras servem como vetor primário de infecção
Os analistas da Kaspersky inicialmente se depararam com a campanha ao rastrear links suspeitos que estavam propagando modificações de aplicativos TikTok para Android. Os aplicativos modificados executavam código de malware adicional quando os usuários lançavam atividades principais do aplicativo.
As URLs dos arquivos de configuração foram apresentadas como botões dentro dos aplicativos comprometidos, lançando sessões do WebView para exibir o TikToki Mall, um portal de compras na internet que aceita criptomoedas por itens de consumo.
O registro e a compra foram restritos para exigir códigos de convite, portanto, os pesquisadores não puderam determinar a legitimidade da loja ou se ela estava operacional. Vectores de infecção para iOS exploram perfis de programa de desenvolvedor da Apple para contornar as restrições normais de instalação de aplicativos.
Captura de tela de um aplicativo infectado na App Store
Os atacantes sequestram certificados empresariais para distribuição de aplicativos organizacionais em nível empresarial, permitindo que aplicativos maliciosos sejam instalados em qualquer dispositivo sem aprovação da App Store. O uso indevido de perfis empresariais é uma tática amplamente empregada por desenvolvedores de aplicativos inadequados, como cassinos online, cracks de software e modificações ilegais.
Versões infectadas de aplicativos TikTok para iOS solicitam permissões da galeria de fotos durante a inicialização, o que está ausente nas versões genuínas do TikTok. O malware está integrado em estruturas que fingem ser AFNetworking.framework e classes AFImageDownloader adulteradas, além de outros componentes do AFImageDownloaderTool.
Variantes de malware para Android roubam imagens por meio de aplicativos com temas de criptomoedas
As versões Android do SparkKitty operam através de aplicativos com temas de criptomoedas com código malicioso embutido nos pontos de entrada. O malware solicita arquivos de configuração contendo endereços de servidor de comando e controle, descriptografando-os usando criptografia AES-256 no modo ECB antes de estabelecer comunicação com servidores remotos.
O roubo de imagem ocorre por meio de processos de duas etapas envolvendo impressão digital do dispositivo e mecanismos de upload seletivo. O malware cria hashes MD5 combinando IMEI do dispositivo, endereços MAC e UUIDs aleatórios, armazenando esses identificadores em arquivos no armazenamento externo.
Fluxo de instalação do perfil. Fonte: Kaspersky
Aplicativos de cassino utilizam a integração do framework LSPosed, funcionando como módulos Xposed maliciosos que interceptam pontos de entrada de aplicativos. Um aplicativo de mensagens infectado com recursos de troca de criptomoedas alcançou mais de 10.000 instalações no Google Play antes da remoção após notificações da Kaspersky.
Aplicativos da web progressivos se propagam por meio de plataformas de golpe que anunciam esquemas Ponzi em plataformas populares de redes sociais. Essas páginas que contêm PWA incentivam os usuários a baixar arquivos APK que registram manipuladores de download de conteúdo, processando imagens JPEG e PNG através da tecnologia de reconhecimento óptico de caracteres do Google ML Kit para identificar capturas de tela com texto.
Academia Cryptopolitan: Quer fazer seu dinheiro crescer em 2025? Aprenda como fazer isso com DeFi em nossa próxima webclass. Reserve seu lugar