A galeria do seu smartphone pode conter fotos e capturas de tela de informações importantes que você mantém lá por segurança ou conveniência, como documentos, acordos bancários ou frases-semente para recuperar carteiras de criptomoedas. Todos esses dados podem ser roubados por um aplicativo malicioso, como o ladrão SparkCat que a Kaspersky descobriu. “Este malware está atualmente configurado para roubar dados de carteiras de criptomoedas, mas pode ser facilmente reutilizado para roubar qualquer outra informação valiosa”, informa nota da empresa russa no blog dela.

>>>Clique aqui para ler mais sobre cybersecurity

A pior parte é que esse malware chegou às lojas de aplicativos oficiais, com quase 250.000 downloads de aplicativos infectados somente do Google Play. Embora aplicativos maliciosos já tenham sido encontrados no Google Play antes , esta é a primeira vez que um Trojan ladrão foi detectado na App Store. Como essa ameaça funciona e o que você pode fazer para se proteger?

Complementos maliciosos para aplicativos legítimos

Segundo a Kaspersky, os aplicativos que contêm componentes maliciosos do SparkCat se enquadram em duas categorias. Alguns, como vários aplicativos de mensagens semelhantes que alegam funcionalidade de IA, todos do mesmo desenvolvedor, foram claramente projetados como isca. Alguns outros são aplicativos legítimos: serviços de entrega de comida, leitores de notícias e utilitários de carteira de criptomoedas.

“Ainda não sabemos como a funcionalidade do Trojan entrou nesses aplicativos. Pode ter sido o resultado de um ataque à cadeia de suprimentos , onde um componente de terceiros usado no aplicativo foi infectado. Alternativamente, os desenvolvedores podem ter incorporado deliberadamente o Trojan em seus aplicativos”, diz nota da Kaspersky.

De acordo com a empresa russa, o ladrão analisa fotos na galeria do smartphone e, para isso, todos os aplicativos infectados solicitam permissão para acessá-lo. Em muitos casos, essa solicitação parece completamente legítima — por exemplo, o aplicativo de entrega de comida ComeCome solicitou acesso para um chat de suporte ao cliente logo ao abrir esse chat, o que parecia completamente natural. Outros aplicativos solicitam acesso à galeria ao iniciar sua funcionalidade principal, o que ainda parece inofensivo. Afinal, você quer poder compartilhar fotos em um mensageiro, certo?

No entanto, assim que o usuário concede acesso a fotos específicas ou à galeria inteira, o malware começa a vasculhar todas as fotos que consegue alcançar, em busca de algo valioso.

Roubo com tecnologia de IA

Para encontrar dados de carteiras criptográficas entre fotos de gatos e pores do sol, o Trojan tem um módulo de reconhecimento óptico de caracteres (OCR) integrado baseado no Google ML Kit — uma biblioteca universal de aprendizado de máquina.

“Dependendo das configurações de idioma do dispositivo, o SparkCat baixa modelos treinados para detectar o script relevante em fotos, seja latim, coreano, chinês ou japonês. Após reconhecer o texto em uma imagem, o Trojan o verifica em relação a um conjunto de regras carregadas de seu servidor de comando e controle. Além de palavras-chave da lista (por exemplo, “Mnemônico”), o filtro pode ser acionado por padrões específicos, como combinações de letras sem sentido em códigos de backup ou certas sequências de palavras em frases-semente”, explica a empresa no blog.

Palavras-chave que o SparkCat procura

Durante nossa análise, a Kaspersky solicitou uma lista de palavras-chave usadas para pesquisa de OCR dos servidores C2 do Trojan. Os cibercriminosos estão claramente interessados ​​em frases usadas para recuperar acesso a carteiras de criptomoedas — conhecidas como mnemônicos

O Trojan carrega todas as fotos contendo texto potencialmente valioso para os servidores dos invasores, junto com informações detalhadas sobre o texto reconhecido e o dispositivo do qual a imagem foi roubada.

Escala e vítimas do ataque

A empresa russa de cibersegurança informa que identificamos 10 aplicativos maliciosos no Google Play e 11 na App Store. “No momento da publicação, todos os aplicativos maliciosos foram removidos das lojas. O número total de downloads somente do Google Play ultrapassou 242.000 no momento da análise, e nossos dados de telemetria sugerem que o mesmo malware estava disponível em outros sites e lojas de aplicativos não oficiais também”, garante a Kaspersky.

A julgar pelos dicionários do SparkCat, ele é “treinado” para roubar dados de usuários em muitos países europeus e asiáticos, e evidências indicam que os ataques estão em andamento desde pelo menos março de 2024. Os autores deste malware provavelmente são fluentes em chinês — mais detalhes sobre isso, bem como os aspectos técnicos do SparkCat, podem ser encontrados no relatório completo no Securelist.

Como se proteger de trojans OCR

Infelizmente, o conselho antigo de “baixe apenas aplicativos bem avaliados de lojas de aplicativos oficiais” não é mais uma bala de prata — até mesmo a App Store foi infiltrada por um verdadeiro infostealer, e incidentes semelhantes ocorreram repetidamente no Google Play. Portanto, explica a nota da Kaspersky, precisamos fortalecer os critérios aqui: baixe apenas aplicativos bem avaliados com milhares, ou melhor ainda, milhões de downloads, publicados há pelo menos vários meses.

Além disso, verifique os links dos aplicativos em fontes oficiais (como o site dos desenvolvedores) para garantir que não sejam falsos e leia as avaliações — especialmente as negativas. E, claro, certifique-se de instalar um sistema de segurança abrangente em todos os seus smartphones e computadores.

Você também deve ser extremamente cauteloso ao conceder permissões para novos aplicativos. Anteriormente, isso era principalmente uma preocupação para as configurações de “Acessibilidade”, mas agora vemos que até mesmo conceder acesso à galeria pode levar ao roubo de dados pessoais. Se você não tiver certeza absoluta sobre a legitimidade de um aplicativo (por exemplo, não é um mensageiro oficial, mas uma versão modificada), não conceda a ele acesso total a todas as suas fotos e vídeos. Conceda acesso apenas a fotos específicas quando necessário.

Armazenar documentos, senhas, dados bancários ou fotos de frases-semente na galeria do seu smartphone é altamente inseguro — além de ladrões como SparkCat, também há sempre o risco de alguém espiar as fotos ou você acidentalmente carregá-las em um serviço de mensagens ou compartilhamento de arquivos. Essas informações devem ser armazenadas em um aplicativo dedicado. Por exemplo, o Kaspersky Password Manager permite que você armazene e sincronize com segurança não apenas senhas e tokens de autenticação de dois fatores, mas também detalhes de cartão bancário e documentos digitalizados em todos os seus dispositivos — tudo em formato criptografado. A propósito, este aplicativo vem com nossas assinaturas Kaspersky Plus e Kaspersky Premium.

Por fim, se você já instalou um aplicativo infectado, exclua-o e não o use até que o desenvolvedor lance uma versão corrigida. Enquanto isso, revise cuidadosamente sua galeria de fotos para avaliar quais dados os cibercriminosos podem ter obtido. Altere todas as senhas e bloqueie todos os cartões salvos na galeria. Embora a versão do SparkCat que descobrimos busque frases-semente especificamente, é possível que o Trojan possa ser reconfigurado para roubar outras informações. Quanto às frases-semente de carteiras criptográficas, uma vez criadas, elas não podem ser alteradas. Crie uma nova carteira criptográfica e transfira todos os seus fundos de — e então abandone completamente — a comprometida.

Image by Freepik.com