- Usando o Google ML Kit para extração de texto, o SparkCat transmite os dados roubados por meio de canais de comunicação criptografados, dificultando a detecção.
- Os métodos de ataque exclusivos do SparkCat incluem uma estrutura Objective-C no iOS e um SDK baseado em Java no Android.
Um novo malware, o SparkCat, de acordo com um relatório de 4 de fevereiro da empresa de segurança cibernética Kaspersky, surgiu como um desafio para os usuários de criptografia do Android e do iOS. O malware apareceu incorporado em outros aplicativos que parecem ser inofensivos. Além disso, ele obtém os detalhes importantes de um usuário de seu dispositivo móvel por meio de uma abordagem sofisticada.
O SparkCat usa o reconhecimento óptico de caracteres para roubos
O SparkCat escaneia imagens mantidas na galeria de um dispositivo para obter frases de recuperação de carteiras de criptografia. Ele realiza essa varredura por meio do reconhecimento óptico de caracteres, uma tecnologia que captura texto de imagens. Os usuários que salvaram algumas capturas de tela e notas relacionadas às carteiras são vítimas em potencial de um comprometimento de dados.
Esse malware começou a operar em março de 2024 e infectou aplicativos, incluindo aplicativos de mensagens de IA e serviços de pedidos de comida na Google Play Store e na App Store da Apple. Curiosamente, é a primeira vez que esse tipo de malware baseado em OCR rouba criptomoedas usando dispositivos Apple.
No Android, ele se espalha por meio de um SDK chamado Spark, que é baseado em Java, mascarado como um módulo de análise e injetado em aplicativos. Quando o usuário inicia o aplicativo infectado, o malware recupera um arquivo de configuração criptografado de um repositório GitLab remoto.
Uma vez ativado, o SparkCat usa a funcionalidade OCR do Google ML Kit para escanear imagens na galeria do dispositivo. Ele procura por palavras-chave relacionadas a frases de recuperação de carteiras de criptomoedas em vários idiomas, incluindo inglês, chinês, japonês, coreano e vários idiomas europeus, informou a KasperSky.
O malware envia imagens para um servidor controlado pelo invasor para exfiltrar os dados roubados. Os métodos de transferência incluem o uso do armazenamento em nuvem da Amazon, juntamente com o protocolo baseado em Rust. Isso torna o rastreamento realmente difícil, pois envolve canais de comunicação criptografados e técnicas de transmissão de dados incomuns.
Comprometimento do iOS por meio de estrutura maliciosa
A variante do SparkCat para iOS funciona de forma diferente, pois ele se incorpora a aplicativos comprometidos como uma estrutura com vários nomes, como GZIP, googleappsdk ou stat. Essa estrutura maliciosa, escrita em Objective-C, é ofuscada usando o HikariLLVM e integra o Google ML Kit para análise de imagens da galeria do dispositivo.
Diferentemente da versão para Android, no iOS, o malware solicita acesso à galeria de fotos somente quando ações específicas são executadas pelos usuários, como abrir um bate-papo de suporte em um aplicativo infectado. Isso minimiza as suspeitas e permite que o malware recupere informações relacionadas à carteira.
O relatório da Kaspersky afirma que, além das frases de recuperação, o malware é capaz de roubar outros dados confidenciais. Isso inclui senhas armazenadas e o conteúdo de mensagens capturadas em capturas de tela. Os especialistas em segurança estimam que o SparkCat já tenha comprometido mais de 242.000 dispositivos, principalmente na Europa e na Ásia.
No entanto, a origem do malware é desconhecida. Com base nos comentários do código e nas mensagens de erro, é possível determinar que os desenvolvedores falam chinês. Os ataques de malware contra usuários de criptomoedas continuam a aumentar, com os criminosos cibernéticos encontrando repetidamente maneiras de contornar as medidas de segurança impostas pelos mercados de aplicativos.
Em setembro de 2024, a Binance sinalizou o malware Clipper, que substituiu endereços de carteira copiados por endereços controlados por invasores. Ele leva as vítimas a enviar fundos sem saber para destinos fraudulentos. Conforme discutimos, no ano passado, em 2024, os investidores perderam mais de US$ 3 bilhões em golpes e hacks de criptomoedas.
