A Kaspersky Labs identificou uma campanha de malware sofisticada visando usuários de criptomoedas por meio de kits de desenvolvimento de software malicioso incorporados em aplicativos móveis disponíveis no Google Play e na Apple App Store. Chamado de "SparkCat", esse malware utiliza reconhecimento óptico de caracteres para escanear fotos de usuários em busca de frases de recuperação de carteira de criptomoedas, que os hackers então usam para acessar e esvaziar carteiras afetadas.
Em um relatório abrangente datado de 4 de fevereiro de 2025, os pesquisadores da Kaspersky Sergey Puzan e Dmitry Kalinin detalharam como o malware SparkCat se infiltra em dispositivos e pesquisa imagens para frases de recuperação por meio da detecção de palavras-chave multilíngues. Uma vez que essas frases são obtidas, os invasores ganham acesso irrestrito às carteiras de criptomoedas das vítimas. Os hackers, portanto, obtêm controle total sobre os fundos, conforme destacado pelos pesquisadores.
Além disso, o malware é projetado para roubar informações sensíveis adicionais, como senhas e mensagens privadas capturadas em capturas de tela. Especificamente em dispositivos Android, o SparkCat se disfarça como um módulo de análise baseado em Java chamado Spark. O malware recebe atualizações operacionais de um arquivo de configuração criptografado no GitLab e utiliza o ML Kit OCR do Google para extrair texto de imagens em dispositivos infectados. A detecção de uma frase de recuperação resulta no envio da informação de volta aos atacantes, permitindo que eles importem a carteira de criptomoedas da vítima para seus dispositivos.
A Kaspersky estima que, desde seu surgimento em março de 2023, o SparkCat tenha sido baixado cerca de 242.000 vezes, impactando predominantemente usuários na Europa e na Ásia.
Em um relatório separado, mas relacionado, de meados de 2024, a Kaspersky tem monitorado outra campanha de malware para Android envolvendo APKs enganosos como Tria Stealer, que intercepta mensagens SMS e registros de chamadas, e rouba dados do Gmail.
A presença desse malware abrange numerosos aplicativos, alguns aparentemente legítimos, como serviços de entrega de alimentos, e outros projetados para atrair usuários desavisados, como aplicativos de mensagens habilitados por IA. Recursos comuns entre esses aplicativos infectados incluem o uso da linguagem de programação Rust, capacidades multiplataforma e métodos sofisticados de ofuscação para evitar a detecção.
As origens do SparkCat permanecem obscuras. Os pesquisadores não atribuíram o malware a nenhum grupo de hackers conhecido, mas notaram comentários e mensagens de erro em chinês dentro do código, sugerindo fluência em chinês pelo desenvolvedor. Embora compartilhe semelhanças com uma campanha descoberta pela ESET em março de 2023, sua fonte precisa permanece não identificada.
A Kaspersky aconselha fortemente os usuários contra o armazenamento de informações sensíveis, como frases de recuperação de carteiras de criptomoedas, em suas galerias de fotos. Em vez disso, recomendam o uso de gerenciadores de senhas e a verificação regular para eliminar aplicativos suspeitos.
As descobertas foram originalmente relatadas no 99Bitcoins no artigo intitulado "SDKs maliciosos no Google Play e App Store roubam frases de recuperação de criptomoedas: Kaspersky."
