English
Français
Indonesia
Tagalog
Malaysia
हिन्दी
বাংলা
中文 (中国)
Tiếng Việt
A Kaspersky alertou para um malware recém-descoberto chamado SparkCat, que tem como alvo chaves privadas e frases de recuperação de carteiras de criptomoedas em dispositivos Android e iOS. O malware já foi descarregado mais de 200.000 vezes e está a espalhar-se através de aplicações que parecem inofensivas, mas que contêm kits de desenvolvimento de software (SDKs) maliciosos. Estas aplicações infetadas, como aplicações de entrega de comida e aplicações de mensagens com tecnologia de IA, estão disponíveis no Google Play e na App Store.
Como funciona o SparkCat : O SparkCat está equipado com tecnologia de reconhecimento ótico de caracteres (OCR), que permite digitalizar a galeria de fotografias da vítima em busca de frases de recuperação de carteiras de criptomoedas. Estas frases são geralmente armazenadas em capturas de ecrã ou notas guardadas, e o malware procura palavras-chave específicas relacionadas com essas frases.
Aqui está uma análise de como o malware opera em ambas as plataformas:
- No Android: o SparkCat é injetado através de um SDK baseado em Java, chamado Spark, que se disfarça de módulo de análise. Quando uma aplicação infetada é iniciada, o Spark recupera um ficheiro de configuração encriptado de um repositório GitLab remoto. Depois, utiliza a ferramenta OCR do Google ML Kit para digitalizar imagens na galeria do dispositivo em busca de frases de recuperação de carteira em vários idiomas, incluindo inglês, chinês, coreano, japonês e outros idiomas europeus. Os dados roubados são depois enviados para um servidor controlado pelo atacante, normalmente utilizando armazenamento na nuvem da Amazon ou um protocolo baseado em Rust, que encripta os dados e complica a deteção.
- No iOS: A versão para iOS opera através de uma estrutura maliciosa incorporada nas aplicações, disfarçada sob nomes como GZIP, googleappsdk ou stat. Esta estrutura integra-se com o Google ML Kit para extrair texto de imagens na galeria. Para evitar suspeitas, apenas solicita o acesso à galeria quando os utilizadores realizam ações específicas, como abrir um chat de suporte.
Riscos adicionais : a flexibilidade do malware significa que pode roubar mais do que apenas informações de carteira de criptomoedas. Também pode comprometer palavras-passe, mensagens e outros dados confidenciais armazenados em capturas de ecrã.
Impacto geográfico : a Kaspersky estima que o SparkCat tenha infetado mais de 242.000 dispositivos, principalmente na Europa e na Ásia. Embora a origem exata permaneça incerta, os comentários incorporados no código sugerem que os programadores podem ser fluentes em chinês.
O que os utilizadores devem fazer : a Kaspersky recomenda que os utilizadores evitem armazenar informações importantes, como frases-chave, chaves privadas e palavras-passe em capturas de ecrã. Os utilizadores também devem ter cuidado ao descarregar aplicações de fontes não oficiais, uma vez que as campanhas de malware direcionadas para utilizadores de criptomoedas continuam a ser uma séria ameaça.
Esta não é a primeira vez que a comunidade cripto enfrenta ataques tão sofisticados. Em setembro de 2024, a Binance sinalizou o malware Clipper, que substituiu os endereços de carteira copiados para a área de transferência por endereços controlados pelo atacante. Estas ameaças contribuíram para algumas das perdas mais significativas no espaço das criptomoedas devido ao roubo de chaves privadas.
O SparkCat destaca o risco contínuo representado por agentes maliciosos no ecossistema das criptomoedas. É essencial que os utilizadores tomem precauções extra, como evitar o armazenamento de informações confidenciais em locais de fácil acesso, como capturas de ecrã, e permanecer vigilantes ao utilizar aplicações móveis.
