Trojan sofisticado contorna a segurança da Apple e Google para colher frases-semente de criptomoedas de fotos de dispositivos móveis, marcando uma escalada significativa em ataques direcionados a criptomoedas móveis.
Pesquisadores de segurança cibernética da Kaspersky descobriram uma nova campanha sofisticada de malware móvel chamada "SparkKitty" que conseguiu infiltrar tanto a App Store da Apple quanto a Google Play Store, comprometendo mais de 5.000 usuários de criptomoedas na China e no Sudeste Asiático.
O malware foca em roubar capturas de tela de frases-semente de carteiras armazenadas em galerias de smartphones, representando uma evolução significativa em ataques direcionados a criptomoedas que exploram vulnerabilidades fundamentais de segurança móvel.
O malware está ativo pelo menos desde o começo de 2024, de acordo com o último relatório de segurança da Kaspersky divulgado esta semana. Diferente dos métodos tradicionais de distribuição de malware, o SparkKitty obteve sucesso notável ao se incorporar dentro de aplicativos que aparentam ser legítimos em ambas as principais plataformas móveis, incluindo ferramentas de rastreamento de preços de cripto, aplicativos de jogos e versões modificadas de aplicativos populares de redes sociais como o TikTok.
O aspecto mais preocupante dessa campanha é sua bem-sucedida superação tanto do rigoroso processo de revisão da App Store da Apple quanto dos sistemas de segurança do Play Protect do Google. Um aplicativo de mensagens comprometido, SOEX, alcançou mais de 10.000 downloads antes de sua detecção e remoção, demonstrando a capacidade do malware de operar sem ser detectado dentro dos ecossistemas oficiais de aplicativos por períodos prolongados.
Metodologia Avançada de Coleta de Dados
O SparkKitty representa um avanço técnico significativo sobre seu predecessor, SparkCat, que foi identificado pela primeira vez em janeiro de 2025. Ao contrário do malware tradicional que seleciona dados sensíveis-alvo, o SparkKitty rouba indiscriminadamente todas as imagens de dispositivos infectados, criando bancos de dados abrangentes de fotos de usuários que são posteriormente enviados para servidores remotos para análise.
O malware opera por meio de um processo sofisticado em várias etapas. Após a instalação via perfis de provisionamento enganosos, o SparkKitty solicita permissões padrão de acesso à galeria de fotos - um pedido que parece rotineiro para a maioria dos usuários. Uma vez concedido o acesso, o trojan monitora continuamente a biblioteca de fotos do dispositivo em busca de alterações, criando bancos de dados locais de imagens capturadas antes de transmiti-las para servidores controlados pelos atacantes.
Os pesquisadores da Kaspersky enfatizam que o objetivo principal dos atacantes parece ser identificar e extrair frases-semente de carteiras de criptomoedas de capturas de tela armazenadas em dispositivos infectados. Essas frases de recuperação de 12-24 palavras fornecem acesso completo às holdings de ativos digitais dos usuários, tornando-as alvos extremamente valiosos para cibercriminosos.
O surgimento do SparkKitty ocorre em um momento de crescente cibercrime focado em criptomoedas. De acordo com a análise de 2024 da TRM Labs, quase 70% dos $2.2 bilhões em criptomoedas roubadas resultaram de ataques à infraestrutura, particularmente aqueles envolvendo roubo de chave privada e frases-semente. Somente em janeiro de 2025, 9.220 vítimas perderam $10.25 milhões para golpes de phishing em criptomoedas, destacando a natureza persistente e evolutiva das ameaças direcionadas a criptomoedas.
O foco geográfico atual do malware na China e no Sudeste Asiático reflete tendências mais amplas na adoção de criptomoedas e no direcionamento de cibercriminosos. No entanto, especialistas em segurança alertam que as capacidades técnicas do SparkKitty e sua eficácia comprovada tornam a expansão global altamente provável. A capacidade do malware de infiltrar lojas oficiais de aplicativos sugere que nenhum ecossistema móvel está imune a ataques sofisticados direcionados a criptomoedas.
Evolução Técnica e Atribuição
A análise forense revela conexões significativas entre SparkKitty e a campanha de malware anterior SparkCat. Ambos os trojans compartilham símbolos de depuração, padrões de construção de código e vários aplicativos vetores comprometidos, sugerindo um desenvolvimento coordenado pelos mesmos atores de ameaças. No entanto, o SparkKitty demonstra refinamentos técnicos notáveis, incluindo capacidades aprimoradas de coleta de dados e técnicas de evasão melhoradas.
SparkCat especificamente alvo frases de recuperação de carteiras de criptomoedas usando tecnologia de reconhecimento óptico de caracteres para extrair essas frases de imagens, enquanto o SparkKitty adota uma abordagem mais ampla ao colher todos os dados de imagem disponíveis para posterior processamento. Essa evolução sugere que os atacantes estão otimizando suas operações para uma eficiência máxima de coleta de dados, ao mesmo tempo que reduzem o processamento no dispositivo que poderia acionar alertas de segurança.
A campanha SparkKitty expõe vulnerabilidades fundamentais nas práticas de segurança de criptomoedas móveis. Muitos usuários rotineiramente tiram screenshots de suas frases-semente por conveniência, criando cópias digitais que se tornam alvos principais para malwares como o SparkKitty. Esta prática, embora compreensível de uma perspectiva de experiência do usuário, cria vulnerabilidades de segurança críticas que atacantes sofisticados estão explorando cada vez mais.
Pesquisadores de segurança enfatizam que a ameaça se estende além dos usuários individuais para o ecossistema mais amplo de criptomoedas. A cada dia, 560.000 novas peças de malware são detectadas, com plataformas móveis se tornando alvos cada vez mais atraentes à medida que a adoção de criptomoedas acelera globalmente.
O sucesso do malware em contornar as medidas de segurança da loja de aplicativos também levanta questões sobre a eficácia dos frameworks de segurança móvel atuais. Tanto a Apple quanto o Google implementaram processos de revisão sofisticados projetados para impedir que aplicativos maliciosos alcancem usuários, no entanto, a infiltração bem-sucedida do SparkKitty demonstra que atacantes determinados ainda podem contornar essas proteções.
Resposta da Indústria e Medidas de Defesa
Após a divulgação da Kaspersky, tanto a Apple quanto o Google iniciaram procedimentos de remoção de aplicativos identificados como infectados pelo SparkKitty. No entanto, a natureza dinâmica da ameaça significa que novas variantes podem continuar a surgir, exigindo vigilância contínua tanto dos pesquisadores de segurança quanto dos operadores de lojas de aplicativos.
Especialistas em segurança de criptomoedas estão recomendando medidas de defesa imediatas para usuários de carteiras móveis. As recomendações principais incluem evitar o armazenamento digital de frases-semente inteiramente, utilizar carteiras de hardware para holdings significativos e implementar auditorias rigorosas de permissões de aplicativos. Os usuários são aconselhados a revisar galerias de fotos existentes para quaisquer credenciais de carteira armazenadas e excluir essas imagens imediatamente.
O incidente também gerou uma discussão renovada sobre os padrões de segurança de criptomoedas móveis. Líderes do setor estão clamando por requisitos de segurança aprimorados para aplicativos móveis relacionados a cripto, incluindo auditorias de segurança obrigatórias e modelos de permissão mais rígidos para aplicativos que lidam com dados financeiros sensíveis.
Embora o SparkKitty atualmente se concentre em mercados asiáticos, especialistas em segurança cibernética alertam que a expansão global parece inevitável. A eficácia comprovada do malware e a natureza universal do uso de criptomoeda móvel sugerem que mercados ocidentais em breve podem enfrentar ameaças semelhantes. Até 2025, o cibercrime - incluindo ataques motivados por malware - pode custar à economia global $10.5 trilhões anualmente, com malware direcionado a criptomoedas representando um componente crescente deste cenário de ameaça.
A natureza sofisticada das capacidades de infiltração do SparkKitty nas lojas de aplicativos sugere que campanhas semelhantes já podem estar em andamento em outras regiões. Pesquisadores de segurança estão clamando por uma cooperação internacional aprimorada no combate ao malware móvel de criptomoedas, incluindo melhorias no compartilhamento de informações entre operadores de lojas de aplicativos e organizações de segurança cibernética.
Avaliação de Ameaças Futuras
A campanha SparkKitty representa uma escalada significativa nas ameaças móveis de criptomoedas, combinando capacidades técnicas sofisticadas com mecanismos comprovados de distribuição. À medida que a adoção de criptomoedas continua a se expandir globalmente, ameaças semelhantes provavelmente aumentarão tanto em frequência quanto em sofisticação.
Especialistas em segurança preveem que futuras iterações de malware direcionado a criptomoedas provavelmente incorporarão técnicas adicionais de evasão, incluindo métodos aprimorados de contornar lojas de aplicativos e capacidades mais sofisticadas de exfiltração de dados. O sucesso da abordagem de colheita de fotos do SparkKitty pode inspirar famílias adicionais de malware a adotarem metodologias semelhantes, criando um ambiente de ameaça em escalada para usuários móveis de criptomoedas.
O incidente destaca a importância crítica de práticas de segurança móvel robustas para detentores de criptomoedas. À medida que os valores dos ativos digitais continuam a subir e a adoção se expande, os dispositivos móveis representam alvos cada vez mais atraentes para organizações criminosas cibernéticas sofisticadas.
Os usuários devem adaptar suas práticas de segurança de acordo, priorizando o uso de carteiras de hardware e eliminando o armazenamento digital de frases-semente para proteger suas holdings de criptomoedas de ameaças móveis de malware em evolução.