Salvando os Detalhes da Sua Carteira e Frase Semente como Foto no Seu Celular? Este Trojan Pode Estar Alvejando Você

Uma nova cepa de spyware móvel, apelidada de SparkKitty, infiltrou-se na App Store da Apple e no Google Play, disfarçada de aplicativos temáticos de criptomoedas e modificados para extrair silenciosamente imagens de frases-semente e credenciais de carteiras.

O malware parece ser um sucessor do SparkCat, uma campanha descoberta inicialmente no início de 2025, que usava módulos falsos de chat de suporte para acessar silenciosamente galerias de usuários e extrair capturas de tela sensíveis.

O SparkKitty leva a mesma estratégia vários passos adiante, pesquisadores da Kaspersky disseram em uma publicação de segunda-feira.

Ao contrário do SparkCat, que se espalha principalmente por pacotes Android não oficiais, o SparkKitty foi confirmado dentro de vários aplicativos iOS e Android disponíveis por lojas oficiais, incluindo um aplicativo de mensagens com recursos de troca de criptomoedas (com mais de 10.000 instalações no Google Play) e um aplicativo iOS chamado “币coin”, disfarçado como um rastreador de portfólio.

No cerne da variante iOS está uma versão armada do framework AFNetworking ou Alamofire, onde os atacantes incorporaram uma classe customizada que é executada automaticamente no lançamento do aplicativo usando o seletor +load do Objective-C.

Ao iniciar, verifica um valor de configuração oculto, recupera um endereço de comando e controle (C2) e escaneia a galeria do usuário, começando a enviar imagens. Um endereço C2 instrui o malware sobre o que fazer, como quando roubar dados ou enviar arquivos, e recebe as informações roubadas de volta.

A variante Android utiliza bibliotecas Java modificadas para alcançar o mesmo objetivo. OCR é aplicado via Google ML Kit para analisar imagens. Se uma frase-semente ou chave privada for detectada, o arquivo é sinalizado e enviado para os servidores do atacante.

A instalação no iOS é feita por meio de perfis empresariais de provisionamento, um método destinado a aplicativos internos empresariais, mas frequentemente explorado para malware.

As vítimas são enganadas para confiar manualmente em um certificado de desenvolvedor vinculado à “SINOPEC SABIC Tianjin Petrochemical Co. Ltd.”, concedendo permissões de nível de sistema ao SparkKitty.

Diversos endereços C2 usaram arquivos de configuração criptografados com AES-256 hospedados em servidores ofuscados.

Uma vez descriptografados, eles apontam para buscadores de payload e endpoints, como /api/putImages e /api/getImageStatus, onde o aplicativo determina se deve enviar ou atrasar a transmissão de fotos.

Pesquisadores da Kaspersky descobriram outras versões do malware utilizando uma biblioteca OpenSSL falsificada (libcrypto.dylib) com lógica de inicialização ofuscada, indicando um conjunto de ferramentas em evolução e múltiplos vetores de distribuição.

Embora a maioria dos aplicativos pareça direcionada a usuários na China e no Sudeste Asiático, nada no malware limita seu escopo regional.

A Apple e o Google removeram os aplicativos em questão após a divulgação, mas a campanha provavelmente está ativa desde o início de 2024 e pode ainda estar em curso por meio de variantes carregadas lateralmente e lojas clonadas, alertaram os pesquisadores.

Leia mais: Hackers Norte-Coreanos Estão Alvejando Principais Empresas de Cripto com Malware Escondido em Candidaturas de Emprego