Os investigadores da Kaspersky descobriram um novo trojan concebido para roubar criptomoedas. O SparkCat está ativo nas lojas de aplicações da Apple e Google, pelo menos, desde março de 2024 e afirma-se como o primeiro caso conhecido de malware baseado no reconhecimento ótico relacionado com a App Store.

A empresa de cibersegurança explica que, para aceder a carteiras de criptomoedas, o SparkCat usa mecanismos de machine learning capazes de analisar galerias de imagens, de modo a ter acesso a capturas de ecrã que contenham frases de recuperação. O software malicioso também é capaz de encontrar e extrair outros dados sensíveis em imagens, como passwords.

O SparkCat dissemina-se através de aplicações legítimas infetadas, entre apps de mensagens, de entrega de comida, de criptomoedas, assim como assistentes de IA, disponíveis na Play Store e na App Store, além de lojas não oficiais.

Segundo dados de telemetria da Kaspersky, no caso da loja da Google, estas aplicações foram descarregadas mais de 242.000 vezes. As aplicações maliciosas foram depois comunicadas pelos investigadores à Google e à Apple.

Clique nas imagens para ver alguns exemplos de aplicações infetadas

O trojan tem capacidade para procurar por dados sensíveis em vários idiomas, incluindo português, chinês, japonês, coreano, inglês, checo, francês, italiano e polaco. Tendo por base informações sobre as áreas operacionais das aplicações infetadas e na análise técnica do malware, os investigadores concluiram que o trojan tem como principais alvos os utilizadores na Europa, mas também nos Emirados Árabes Unidos e em países da Ásia.

Uma vez que uma aplicação infetada é instalada, o malware pede acesso às fotografias armazenadas na galeria do smartphone. Em seguida, o SparkCat analisa o texto das imagens através de um módulo de reconhecimento ótico de caracteres (OCR).

Se forem detetadas palavras relevantes, as imagens são enviadas para os atacantes. Ao encontrarem frases de recuperação para carteiras de criptomoedas, os cibercriminosos podem tomar controlo das mesmas e ter acesso aos fundos das vítimas.

Ao analisarem as versões para Android do malware, os especialistas da Kaspersky encontraram comentários escritos em chinês no código. Já a versão para iOS continha os nomes “qiongwu” e “quiwengjing” entre os programadores, o que sugere que os cibercriminosos responsáveis pela campanha são fluentes em chinês, afirma a empresa. Porém, não existem provas suficientes para atribuir a campanha a um grupo cibercriminoso conhecido.

Olhando para a forma como o SparkCat usa mecanismos de machine learning, o módulo Android desencripta e executa um plugin OCR, através da biblioteca ML Kit da Google, para reconhecer texto em imagens armazenadas. Um método semelhante foi utilizado no seu módulo malicioso para iOS

“Este é o primeiro caso conhecido de um Trojan baseado em OCR a entrar furtivamente na App Store", realça Sergey Puzan, analista de malware da Kaspersky, citado em comunicado. "De momento ainda não é possível concluir se as aplicações foram comprometidas através de um ataque à cadeia de abastecimento ou através de vários outros métodos. Algumas aplicações, como os serviços de entrega de comida, parecem legítimas, enquanto outras são claramente concebidas para servirem de iscos”, acrescenta.

Em linha com o especialista, Dmitry Kalinin, analista de malware da Kaspersky detalha que "o carácter furtivo deste trojan torna-o difícil de detetar, tanto para os moderadores das lojas como para os utilizadores". "Além disso, as permissões que solicita parecem razoáveis, tornando-as fáceis de ignorar. Na perspetiva do utilizador, o pedido acesso à galeria pode parecer essencial para que a aplicação funcione corretamente. Esta permissão é normalmente solicitada em contextos relevantes”, afirma.