A Kaspersky Labs identificou uma campanha sofisticada de malware direcionada a usuários de criptomoedas por meio de kits de desenvolvimento de software maliciosos incorporados em aplicativos móveis disponíveis no Google Play e na Apple App Store. Nomeado "SparkCat", este malware utiliza reconhecimento óptico de caracteres para escanear as fotos dos usuários em busca de frases de recuperação de carteiras de criptomoedas, que os hackers usam para acessar e esvaziar carteiras afetadas.

Em um relatório abrangente datado de 4 de fevereiro de 2025, os pesquisadores da Kaspersky Sergey Puzan e Dmitry Kalinin detalharam como o malware SparkCat infiltra-se nos dispositivos e busca imagens para frases de recuperação por meio da detecção de palavras-chave multilíngues. Uma vez obtidas essas frases, os atacantes ganham acesso irrestrito às carteiras cripto das vítimas. Os hackers assim conseguem controle total sobre os fundos, conforme destacado pelos pesquisadores.

Além disso, o malware é projetado para roubar informações sensíveis adicionais, como senhas e mensagens privadas capturadas em screenshots. Especificamente em dispositivos Android, SparkCat disfarça-se como um módulo analítico baseado em Java chamado Spark. O malware recebe atualizações operacionais de um arquivo de configuração criptografado no GitLab e usa o OCR do Google ML Kit para extrair texto de imagens em dispositivos infectados. A detecção de uma frase de recuperação resulta no envio de informações de volta para os atacantes, permitindo-lhes importar a carteira cripto da vítima para seus dispositivos.

A Kaspersky estima que desde sua emergência em março de 2023, o SparkCat tenha sido baixado cerca de 242.000 vezes, impactando predominantemente usuários na Europa e Ásia.

Em um relatório separado, mas relacionado, de meados de 2024, a Kaspersky vem monitorando outra campanha de malware Android envolvendo APKs enganosos como Tria Stealer, que intercepta mensagens SMS e logs de chamadas, e rouba dados do Gmail.

A presença deste malware se estende por diversos aplicativos, alguns aparentemente legítimos, como serviços de entrega de comida, e outros projetados para atrair usuários desavisados, como aplicativos de mensagens com inteligência artificial. Recursos comuns entre esses aplicativos infectados incluem o uso da linguagem de programação Rust, capacidades multiplataforma e métodos sofisticados de ofuscação para evitar a detecção.

As origens do SparkCat permanecem obscuras. Os pesquisadores não atribuíram o malware a nenhum grupo de hackers conhecido, mas observaram comentários e mensagens de erro em chinês dentro do código, sugerindo fluência em chinês por parte do desenvolvedor. Embora compartilhe semelhanças com uma campanha descoberta pela ESET em março de 2023, sua fonte precisa permanece não identificada.

A Kaspersky aconselha fortemente os usuários a não armazenarem informações sensíveis, como frases de recuperação de carteiras de criptomoedas, em suas galerias de fotos. Em vez disso, eles recomendam empregar gerenciadores de senhas e regularmente escanear e eliminar aplicativos suspeitos.

As descobertas foram originalmente reportadas no 99Bitcoins no artigo intitulado "Malicious SDKs on Google Play and App Store Steal Crypto Seed Phrases: Kaspersky."