Compartilhe este artigo
Salvando os Detalhes da Sua Carteira e Frase Semente como Foto no Seu Celular? Este Trojan Pode Estar Alvejando Você
Sucessor do spyware SparkCat se dissemina por meio de lojas de aplicativos oficiais e exfiltra fotos da galeria utilizando OCR para capturar frases-semente.
O que saber:
- Um novo spyware móvel chamado SparkKitty infiltrou-se em lojas oficiais de aplicativos, visando fotos de frases-semente e credenciais de carteiras.
- SparkKitty, um sucessor do SparkCat, utiliza frameworks e bibliotecas modificadas para exfiltrar dados sensíveis de dispositivos iOS e Android.
- Apesar da remoção das lojas de aplicativos, a campanha de malware pode continuar por meio de variantes sideloaded e lojas clone, representando uma ameaça global.
Uma nova cepa de spyware móvel, apelidada de SparkKitty, infiltrou-se na App Store da Apple e no Google Play, disfarçada de aplicativos temáticos de criptomoedas e modificados para extrair silenciosamente imagens de frases-semente e credenciais de carteiras.
O malware parece ser um sucessor do SparkCat, uma campanha descoberta inicialmente no início de 2025, que usava módulos falsos de chat de suporte para acessar silenciosamente galerias de usuários e extrair capturas de tela sensíveis.
A História Continua abaixo
O SparkKitty leva a mesma estratégia vários passos adiante, pesquisadores da Kaspersky disseram em uma publicação de segunda-feira.
Ao contrário do SparkCat, que se espalha principalmente por pacotes Android não oficiais, o SparkKitty foi confirmado dentro de vários aplicativos iOS e Android disponíveis por lojas oficiais, incluindo um aplicativo de mensagens com recursos de troca de criptomoedas (com mais de 10.000 instalações no Google Play) e um aplicativo iOS chamado “币coin”, disfarçado como um rastreador de portfólio.
No cerne da variante iOS está uma versão armada do framework AFNetworking ou Alamofire, onde os atacantes incorporaram uma classe customizada que é executada automaticamente no lançamento do aplicativo usando o seletor +load do Objective-C.
Ao iniciar, verifica um valor de configuração oculto, recupera um endereço de comando e controle (C2) e escaneia a galeria do usuário, começando a enviar imagens. Um endereço C2 instrui o malware sobre o que fazer, como quando roubar dados ou enviar arquivos, e recebe as informações roubadas de volta.
A variante Android utiliza bibliotecas Java modificadas para alcançar o mesmo objetivo. OCR é aplicado via Google ML Kit para analisar imagens. Se uma frase-semente ou chave privada for detectada, o arquivo é sinalizado e enviado para os servidores do atacante.
A instalação no iOS é feita por meio de perfis empresariais de provisionamento, um método destinado a aplicativos internos empresariais, mas frequentemente explorado para malware.
As vítimas são enganadas para confiar manualmente em um certificado de desenvolvedor vinculado à “SINOPEC SABIC Tianjin Petrochemical Co. Ltd.”, concedendo permissões de nível de sistema ao SparkKitty.
Diversos endereços C2 usaram arquivos de configuração criptografados com AES-256 hospedados em servidores ofuscados.
Uma vez descriptografados, eles apontam para buscadores de payload e endpoints, como /api/putImages e /api/getImageStatus, onde o aplicativo determina se deve enviar ou atrasar a transmissão de fotos.
Pesquisadores da Kaspersky descobriram outras versões do malware utilizando uma biblioteca OpenSSL falsificada (libcrypto.dylib) com lógica de inicialização ofuscada, indicando um conjunto de ferramentas em evolução e múltiplos vetores de distribuição.
Embora a maioria dos aplicativos pareça direcionada a usuários na China e no Sudeste Asiático, nada no malware limita seu escopo regional.
A Apple e o Google removeram os aplicativos em questão após a divulgação, mas a campanha provavelmente está ativa desde o início de 2024 e pode ainda estar em curso por meio de variantes carregadas lateralmente e lojas clonadas, alertaram os pesquisadores.
Mais para você
O que saber:
- As of October 2025, GoPlus has generated $4.7M in total revenue across its product lines. The GoPlus App is the primary revenue driver, contributing $2.5M (approx. 53%), followed by the SafeToken Protocol at $1.7M.
- GoPlus Intelligence's Token Security API averaged 717 million monthly calls year-to-date in 2025 , with a peak of nearly 1 billion calls in February 2025. Total blockchain-level requests, including transaction simulations, averaged an additional 350 million per month.
- Since its January 2025 launch , the $GPS token has registered over $5B in total spot volume and $10B in derivatives volume in 2025. Monthly spot volume peaked in March 2025 at over $1.1B , while derivatives volume peaked the same month at over $4B.
Mais para você
Projeto NFT Pudgy Penguins domina a Las Vegas Sphere em campanha de fim de ano
Os segmentos animados da marca NFT serão exibidos na Sphere durante a semana de Natal, sinalizando a entrada da empresa de criptomoedas nos mercados consumidores do mundo real.
O que saber:
- Pudgy Penguins realizará uma campanha publicitária na Las Vegas Sphere durante a semana de Natal, sendo uma das poucas marcas de criptomoedas a garantir um espaço neste local de alto perfil.
- O projeto de NFT, que foi lançado na Ethereum em 2021, expandiu-se para brinquedos físicos e jogos digitais como parte de uma estratégia mais ampla voltada ao consumidor.
- Pudgy Penguins superou brevemente os Bored Apes em preço mínimo no início deste ano e lançou recentemente seu token PENGU na Solana, agora negociado em grandes exchanges.
Principais Histórias
